在建立一個新的模型時，您把屬性以數組的方式傳入模型的構造方法，這些屬性值會經由批量賦值存成模型數據。這一點非常方便，然而，若盲目地將用戶輸入存到模型時，可能會造成嚴重的安全隱患。如果盲目的存入用戶輸入，用戶可以隨意的修改任何以及所有模型的屬性。基于這個理由，所有的 Eloquent 模型默認會阻止批量賦值 。 我們以在模型里設定 `fillable` 或 `guarded` 屬性作為開始。 ## 定義模型 Fillable 屬性 `fillable` 屬性指定了哪些字段支持批量賦值 。可以設定在類的屬性里或是實例化后設定。 ~~~ class User extends Model { protected $fillable = ['first_name', 'last_name', 'email']; } ~~~ 在上面的例子里，只有三個屬性允許批量賦值。 ## 定義模型 Guarded 屬性 `guarded` 與 `fillable` 相反，是作為「黑名單」而不是「白名單」： ~~~ class User extends Model { protected $guarded = ['id', 'password']; } ~~~ > 注意： 使用 guarded 時， Input::get() 或任何用戶可以控制的未過濾數據，永遠不應該傳入 save 或 update 方法，因為沒有在「黑名單」內的字段可能被更新。 ## 阻擋所有屬性被批量賦值 上面的例子中， id 和 password 屬性不會被批量賦值，而所有其他的屬性則允許批量賦值。您也可以使用 `guard` 屬性阻止所有屬性被批量賦值： ~~~ protected $guarded = ['*']; ~~~