开发人员应该记住的准则:客户端的输入都是不可信
客户端传过来的数据 先进行过滤和清洗后 再存储或传递到内部系统

scenario 场景的使用

场景一般在表单模型 model里面创建

Model类的load和validate两个方法,分别用来收集和校验客户端数据。
哪些数据应该被收集,哪些数据需要在什么场景下验证,场景(scenario)和验证规则(rule)

关键点是批量赋值(massive assignment)和数据校验(validate)两个方法。
如果对不同的场景指定赋值字段和检验规则,问题就迎刃而解。
业务复杂时定义多个场景,仔细为每个场景定义安全属性和校验规则