首頁(yè) 猿問(wèn) 如何防止 Symfony...

如何防止 Symfony 中易受攻擊實(shí)體的延遲加載

PHP

元芳怎么了 2023-07-07 10:34:56

我的問(wèn)題很簡(jiǎn)單，但我在網(wǎng)上搜索了一個(gè)小時(shí)后沒有找到任何線索。我正在嘗試構(gòu)建一個(gè) Symfony API，但是當(dāng)返回 json 輸出時(shí)，它會(huì)延遲加載輸出中的每個(gè)關(guān)系。雖然這不是什么大問(wèn)題（在大多數(shù)情況下），但當(dāng)它對(duì)用戶信息執(zhí)行此操作時(shí)，情況確實(shí)很糟糕。因此，所有內(nèi)容（密碼、電子郵件等）都會(huì)顯示出來(lái)。我的問(wèn)題是：是否可以在學(xué)說(shuō)中將一個(gè)實(shí)體標(biāo)記為受保護(hù)，這樣就不會(huì)使用該實(shí)體進(jìn)行自動(dòng)加載？在某些情況下它非常方便，但這是一個(gè)很大的缺陷。如果無(wú)法標(biāo)記實(shí)體，是否可以完全停用它或在集合元素上停用它？提前致謝編輯：class User implements UserInterface{ /** * @ORM\Id() * @ORM\GeneratedValue() * @ORM\Column(type="integer") */ private $id; /** * @ORM\Column(type="string", length=180, unique=true) */ private $email; /** * @var string The hashed password * @ORM\Column(type="string") */ private $password; /** * @ORM\OneToOne(targetEntity="App\Entity\Profile", mappedBy="user", cascade={"persist", "remove"}) */ private $profile;getter 和 setter 都在那里。還有一個(gè) Profile 類，即所有關(guān)系的接口。它具有 1to1 的關(guān)系。class Profile{ /** * @ORM\Id() * @ORM\GeneratedValue() * @ORM\Column(type="integer") */ private $id; /** * @ORM\OneToOne(targetEntity="App\Entity\User", inversedBy="profile", cascade={"persist", "remove"}) * @ORM\JoinColumn(nullable=false) */ private $user;getter 和 setter 就在那里。class Event{ /** * @ORM\Id() * @ORM\GeneratedValue() * @ORM\Column(type="integer") */ private $id; /** * @ORM\Column(type="datetime") */ private $date; /** * @ORM\ManyToOne(targetEntity="App\Entity\Profile", inversedBy="ownedEvents") * @ORM\JoinColumn(nullable=false) */ private $profile; /** * @ORM\OneToMany(targetEntity=Post::class, mappedBy="event", orphanRemoval=true) */ private $posts;問(wèn)題是，該配置文件已加載，用戶也可以使用它......以下是控制器功能。但序列化是在額外的方法中進(jìn)行的。public function getUnreactedEvents(): JsonResponse{ $events = $this->getDoctrine() ->getManager() ->getRepository(Event::class) ->getUnreactedEvents($this->profileUtils->getLoggedInProfileFromDatabase()->getId()); return new JsonResponse($this->eventUtils->eventsToArray($events)); }

查看完整描述

1 回答

守著一只汪

TA貢獻(xiàn)1872條經(jīng)驗(yàn) 獲得超4個(gè)贊

我建議使用JMSSerializerBundle來(lái)實(shí)現(xiàn)這一點(diǎn)。它是一個(gè)廣泛使用的捆綁包，也有大量的 API。您可以準(zhǔn)確配置哪些屬性應(yīng)該公開，哪些不應(yīng)該公開。您還可以構(gòu)建用于公開屬性的組并使用特定的排除策略。

提示：還要檢查深層嵌套對(duì)象的限制序列化深度。

反對(duì) 回復(fù) 2023-07-07