表单Filed的readonly，disable和display字段的值仍然可以修改 #310

acshiryu · 2020-07-11T02:35:39Z

Laravel Version: 7
PHP Version: 7.4
Dcat Admin Version: 1.5.2

Description:

经测试，直接使用浏览器的审查元素，删除掉disable或者readonly属性，然后提交，该字段的值竟然保存成功了。已经测试可以直接通过这个方法修改用户的用户名，这在某些需要严格权限认证的地方不够严谨，建议给Form的removeIgnoredFields方法加上对这些字段的筛查

    public function removeIgnoredFields($input)
    {
        Arr::forget($input, $this->ignored);

        /** @var Field $field */
        foreach ($this->builder->fields() as $field){
            if ($field instanceof Field\Display || $field->hasAttribute('disabled') || $field->hasAttribute('readonly')){
                Arr::forget($input, $field->column());
            }
        }

        return $input;
    }

Steps To Reproduce:

The text was updated successfully, but these errors were encountered:

jqhph · 2020-07-11T02:37:03Z

这个是浏览器的特性，你可以自己处理，display是不能保存的因为display就只是个div而已。

acshiryu · 2020-07-11T02:43:00Z

display虽然是div，但可以审查元素修改为text提交，然后后端是依旧接受这个字段并允许修改了
我将个人设置的name标签复制一下，改成username 可以提交修改用户名

jqhph · 2020-07-11T05:15:41Z

感谢建议，已支持这个功能

jqhph added the enhancement New feature or request label Jul 11, 2020

jqhph added a commit that referenced this issue Jul 11, 2020

自动忽略Display 、Text readonly以及Text disable类型表单 #310

b6a187b

jqhph closed this as completed Jul 11, 2020

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

表单Filed的readonly，disable和display字段的值仍然可以修改 #310

表单Filed的readonly，disable和display字段的值仍然可以修改 #310

acshiryu commented Jul 11, 2020

jqhph commented Jul 11, 2020

acshiryu commented Jul 11, 2020 •

edited

Loading

jqhph commented Jul 11, 2020

表单Filed的readonly，disable和display字段的值仍然可以修改 #310

表单Filed的readonly，disable和display字段的值仍然可以修改 #310

Comments

acshiryu commented Jul 11, 2020

Description:

Steps To Reproduce:

jqhph commented Jul 11, 2020

acshiryu commented Jul 11, 2020 • edited Loading

jqhph commented Jul 11, 2020

acshiryu commented Jul 11, 2020 •

edited

Loading