Как в Yii2 при редактирование модели запретить перезапись полей которые отсутствуют в форме?

Question

[Belka2007]

Для примера возьмем, что в таблице "Товары" 4 поля: field_1, field_2, field_3, field_4.
При добавления нового товара (например в админке) они все присутствуют в форме и все сохраняются при отправке формы.

А в общедоступной части сайта доступно редактирование товара, но только 2 поля field_3, field_4.

Если просто создать форму с 2 полями field_3, field_4, то злоумышленник зная какие еще есть поля, может отправить и поля field_1, field_2 и они перезапишутся.

Как вариант сохранять изначальное состояние модели во временную переменную и потом явно перезаписывать поля которые не должны быть изменены из формы:

$model = $this->findModel($id);
$temp = clone $model;

if ($model->load(Yii::$app->request->post())) {
	$model->field_1 = $temp->field_1;
	$model->field_2 = $temp->field_2;

	if ($model->save()) {
		return $this->redirect('test');
	}
}

Или создать отдельную модель для формы:

$form = new ProductUpdateForm;

if ($form->load(Yii::$app->request->post()) && $form->validate()) {
	$model = $this->findModel($id);
	$model->field_3 = $form->field_3;
	$model->field_4 = $form->field_4;
	
	if ($model->save(false)) {
		return $this->redirect('test');
	}
}

Но как-то это все не по феншую... может есть какой более правильный/лаконичный способ, через сценарии или еще как?

P.S.: В реальности в таблицах много полей, которым нужно разрешить заполнение и много тех, которым нужно запретить перезапись.

Answer 1

[Дмитрий]

Добрый день.
Я бы обратил своё внимание на "сценарии".
Один сценарий для создания новой записи, второй для редактирования существующей.
Соответствующие правила валидации для каждого сценария.
https://www.yiiframework.com/doc/guide/2.0/ru/stru...

p.s.

Если просто создать форму с 2 полями field_3, field_4, то злоумышленник зная какие еще есть поля, может отправить и поля field_1, field_2 и они перезапишутся.

А как же RBAC?

P.S.S
Не имеет смысла и может привести к ошибкам валидации.

if (******** && $form->validate()) {
    ******
    if ($model->save(true)) {
        *****
    }
}

Тем более, что валидация в методе save() включена по умолчанию.

public boolean save ( $runValidation = true, $attributeNames = null )

Comments

[Belka2007]

Опечатка, там должно быть:
$model->save(false)

Кстати спасибо, в save есть:

@param array $attributeNames list of attribute names that need to be saved. Defaults to null, meaning all attributes that are loaded from DB will be saved.

По RBAC можно пример?

[Дмитрий]

Belka2007, https://www.yiiframework.com/doc/guide/2.0/ru/secu...

Answer 2

[Максим Тимофеев]

Если просто создать форму с 2 полями field_3, field_4, то злоумышленник зная какие еще есть поля, может отправить и поля field_1, field_2 и они перезапишутся.

По идее у Вас для каждой формы будет или своя модель или сценарии, которые сформируют кастомные правила валидации. Если это форма добавления товара, которую заполняет пользователь, то разумно сделать обычную модель, которая унаследована от Model, а не от ActiveRecods

Comments

[Дмитрий]

День добрый.
Разве сценариев недостаточно, обязательно создавать отдельную модель для формы?

[Максим Тимофеев]

slo_nik, Достаточно. Но иногда когда есть свои методы и сильно отличающиеся правила валидации. В таком случае отдельная модель под форму - лучше (очевиднее, проще поддерживать, не захламляет родительскую модель AR). Как минимум модель, которую Вы передаете в представление для постройки формы не содержит ничего лишнего.

[Дмитрий]

Максим Тимофеев, понял, а то мне как-то было не очень понятно поначалу. Зачем городить вторую, если можно обойтись сценариями и rbac-ом, хотя, я думаю, самый простой вариант AccessControl.
Вот тут ещё от меня вопрос))))
Случаем не знаете, как задать шаблон для ActiveField::label(), чтобы в содержимое label можно было вставлять html?

[Максим Тимофеев]

slo_nik, Там же генерится тег <label>, он не подразумевает html внутри. Но можно в форме через

->label($model->getAttributeLabel('attributeName') . '<span>content html</span>')

там encode именно в методе getAttributeLabel(), так что в самой форме через метод ->label() должно выводить html без проблем

[Дмитрий]

Максим Тимофеев, это я знаю, но дело в том, что надо дублировать этот код для каждого label(). Не очень красиво получается. Целый вечер вчера потратил на поиски, но ничего путнего не нашёл.
Пока в голове крутится вариант с переопределением метода label().

[Дмитрий]

Максим Тимофеев, чтобы можно было определять по аналогии с "fieldConfig"

[Максим Тимофеев]

slo_nik, Можно свой переопределить template в настройках activeForm

[Дмитрий]

Максим Тимофеев, тоже вариант. Но опять же, куча html надо писать. Куда удобней что-то похожее

'labelContent' => [
   'icon' => '<i class="fa fa-plus"></i>',
   'html' => '<span class="test"></span>',
  'attribute' => '{label}'
]

И на выходе получить уже такой вид

<label>
  <i class="fa fa-plus"></i>
  <span class="test">Your Name</span>
</label>

[Максим Тимофеев]

slo_nik, Ну тут на самом деле надо бы не так. Вот как правильно было бы:

<span>
  <i class="fa fa-plus"></i>
  <label>Your Name</label>
</span>

А тогда и label не надо трогать. И кстати иконку можно через css, через :before добавить. Тогда достаточно стандартной реализации, просто класс меняй через labelOptions и все.

[Дмитрий]

Максим Тимофеев, да, это как правильно. А если есть уже готовый html формы, который надо натянуть на framework?
Да и нашёл я, как обернуть label в span.