Laravel 5.x,Laravel Collective 5.x
每当在Laravel刀片模板中有一个Form ::和输入元素的实例时,始终可以使用?GET = URL中的变量来覆盖变量(无论是否声明了表单是否已绑定)。 / p>
这可能会带来安全风险。虽然它有时很有用,但是人们可以提供表单链接并覆盖隐藏字段,或者在没有用户知识的情况下不应该更改的重要字段?
此代码:
{!! Form::textarea('content', null, ['rows' => '4']) !!}
{!! Form::textarea('content', '', ['rows' => '4']) !!}
{!! Form::textarea('content', "", ['rows' => '4']) !!}
{!! Form::textarea('content', "something specific", ['rows' => '4']) !!}
允许通过转到/page?content=something+bad