我有一个控制器,它返回各个字段的枚举。例如
// Expected route - /api/getFamilyTypes - only GET method is allowed
public function getFamilyTypes()
{
return [
'Nuclear Family',
'Joint Family'
];
}
我有大约 20 个这样的函数。如何在不手动为路由文件中的每个函数添加条目的情况下添加它?
提前致谢。
【问题讨论】:
标签: php laravel laravel-5 routing laravel-5.7
在你的路由文件中,添加类似这样的内容,
Route::get('/something/{func}', 'SomeController@functionRoute');
something 是您想要使用的任何路径,SomeController 是具有您正在使用的 20 个功能的控制器,functionRoute 是我们即将执行的操作。
然后在你的控制器中,做一个这样的函数,
public function functionRoute($func)
{
return $this->$func();
}
这将使每当有人在您的网站上浏览到/something/* 时,它都会在最后执行函数名称。因此,如果您导航到 /something/getFamilyTypes,它将运行您的 getFamilyTypes 函数。
这不是特别安全。如果这样做,用户将能够运行控制器的任何方法。你可以这样设置黑名单。
public function functionRoute($func)
{
$blacklist = [
'secret',
'stuff',
];
return in_array($func, $blacklist) ? redirect('/') : $this->$func();
}
或者你可以设置一个这样的白名单,
public function functionRoute($func)
{
$whitelist = [
'getFamilyTypes',
'otherUserFriendlyStuff',
];
return in_array($func, $whitelist) ? $this->$func() : redirect('/');
}
【讨论】:
$this->$func() 可能是不安全的。它允许在没有参数的情况下调用控制器上的 any 方法——甚至可能是一些从未打算供用户调用的内部方法。
api.php?
如果响应总是来自硬编码的数组(而不是来自数据库),那么一种方法可能是在你的路由中添加一个变量:
Route::get('/api/enum/{field}', 'EnumController@getField');
然后在您的控制器方法中,使用变量从键控数组中获取正确的数据:
public function getField($field)
{
$fields = [
'family' => [
'Nuclear Family',
'Joint Family'
],
// ...
];
return $fields[$field];
}
如果您想继续对每个领域使用不同的方法,那么迈克尔的答案是最简单的选择,但有一个警告。允许用户在控制器上按名称调用任何方法存在安全风险。为了保护自己,您应该validate将方法名称列入白名单。
【讨论】: