htmlspecialchars 函数的默认行为，而且会在渲染内容或传递内 联 JSON 内容到 JavaScript 框架时导致预期之外的结果。 在 Laravel 5.6 中，Blade 以及辅助函数 e 默认会对特殊字符进行双重编码，从而与 PHP 底层 htmlspecialchars 函数的默认行为保持一致。如果 你想要维持不进行双重编码的旧状，可以使用 Blade::withoutDoubleEncoding htmlspecialchars 函数的默认行为，而且会 在渲染内容或传递内联 JSON 内容到 JavaScript 框架时导致预期之外的结果。 在 Laravel 5.6 中，Blade 以及辅助函数 e 默认会对特殊字符进行双重编码，从而与 PHP 底层 htmlspecialchars 函数的默认行为保持一致。如果 你想要维持不进行双重编码的旧状，可以传递 false 作为第二个参数到 e 函数： 字符串/数组。这样在测试中就可以更好地检查响应的模型。 路由 返回新创建的模型 从路由中直接返回新创建的 Eloquent 模型时，响应状态码由 200 调整为 201，如果应用的任意相应测试显式期望

代码： composer require laravel/ui php artisan ui vue --auth 升级指南 重要更新概览 影响较大  授权资源 & viewAny  字符串 & 数组辅助函数 影响中等  认证 RegisterController  不再支持 Carbon 1.x  数据库 Capsule::table 方法  Eloquent 数组化 Illuminate\Contracts\Support\Arrayable 接口的属性转化 为数组。 主键类型声明 影响级别：中等 Laravel 6.0 对整型键类型进行了性能优化，如果你使用了字符串作 为模型的主键，需要使用模型类的 $keyType 属性声明主键类型： /** * The "type" of the primary key ID. * 本文档由学院君提供 学院君致力于提供优质 址，如果你的 App\User 模型使用的 是 Illuminate\Auth\MustVerifyEmail Trait，可以忽略此更新， 因为该 Trait 内部已经帮我们实现好了。 辅助函数 字符串 & 数组辅助函数包 影响级别：高 所有的 str_ 和 array_ 辅助函数都被迁移到新 的 laravel/helpers Composer 扩展包，如果你使用了这些辅助函数， 需要更新所有调用为使

Homestead 虚拟机，这些权限已经被设置好了。 2.1.2 应用 Key 接下来要做的事情就是将应用 key 设置为一个随机字符串，如果你是通过 Composer 或者 Laravel 安装器安装的话，该 key 的值已经通过 key:generate 命令生成好了。通常，该字符 串应该是 32 位长，该 key 被配置在.env 环境文件中（APP_KEY），如果你还没有 将.env.example 门面的 environment 方 法来访问其值： $environment = App::environment(); 你也可以向 environment 方法中传递参数来判断当前环境是否匹配给定值，如果需要的话你 甚至可以传递多个值： if (App::environment('local')) { // The environment is local } if 之后，你可能想要命名你的应用，默认情况下，app 目录处于命名空间 App 之下，然后 Composer 使用 PSR-4 自动载入标准来自动载入该目录，你可以使用 Artisan 命令 app:name 来改变该命名空间以匹配你的应用名称。 比如，如果你的应用名称是“Horsefly”，你可以在安装根目录下运行如下命令： php artisan app:name Horsefly 来重命名应用的命名空间，当然你也可以继续使用

实例以匹 配路由定义中的 {user} 参数。 现在，在 Laravel 5.2 中，框架将会基于相应 URI 片段自动注入模型，从而允许你快速 访问需要的模型实例。 如果路由参数片段 {user} 匹配路由闭包或控制器方法中相应变量 $user，并且被类型声明 为一个 Eloquent 模型类的话，Laravel 将会自动注入该模型。 更多隐式模型绑定详情请查看 Laravel 5.2 文档 HTTP php 配置文件中，要特别注意 passwords.users.email 配置项，由于在 Laravel 5.2 对 email 视图路径有所改动，因此要确保该视图路径与应用实际的路径相匹 配，如果不匹配的话要更新该配置值。 Contracts 如果你实现了 Illuminate\Contracts\Auth\Authenticatable 契约但没有使 用 Authenticatable trait，那么需要添加一个新的 URL 转化成完整 URL。 Eloquent 日期转化 当调用模型或模型集合的 toArray 方法时，任何添加到 $casts 的属性， 如 date 或 datetime，现在都会被转化为字符串。这使得在 $dates 数组中制定的日期转化 变得简单方便。 全局作用域 我们重写了全局作用域的实现以便于使用，全局作用域不再需要 remove 方法，因此可以在 所有你使用到该方法的地方将其移除。

学院（LaravelAcademy.org）提供 Laravel 学院致力于提供优质 Laravel 中文学习资源 24 AES-256-CBC 并且将 key 设置为 32 位随机字符串（这可以通过 Artisan 命令 php artisan key:generate 生成）。 如果你在使用 Mcrypt 加密保存加密数据到数据库，则需要安装包含 Mcrypt 加密实现的扩展包 数据。 失败任务表 如果你的应用有了 failed_jobs 表，需要添加 exception 字段到这张表，exception 字段应该是 TEXT 类型，用于保存导致队列任务失败的异常字符串。 在传统风格队列任务上序列化模型 通常，Laravel 的队列任务通过传递任务实例到 Queue::push 方法添加到队列，不过，一些应用会 通过如下这种传统的方式添加任务到队列： 实例，如果你手动捕 获了表单请求的 HttpException 实例，需要修改 catch 区块代码为捕获 ValidationException。 支持空的原生数值 当验证数组、布尔值、整型、数字、字符串时，null 不会被当作有效值，除非在约束条件中设置 包含 nullable： Validate::make($request->all(), [ 'string' => 'nullable|max:5'

轒 轌 管理跟 輱 輮 輱 中很像。一个主要的改进是现在的 轕 轒 轌 管理支 持可 可 可选 选 选参 参 参数 数 数了。 比如，如果你在 輲 輮 輰 中定义了一个下面这样的规则，那么 它可以同时匹配 p o s t / p o p u l a r 和 p o s t / 1 / p o p u l a r 两种 轕 轒 轌 。 而在 輱 輮 輱 中为 达成相同效果，必须要使用两条规则。 [ 轐 轔 轅 轒 輲 輮 入门（轇轅 轔 轔 轉 轎 轇 轓 轔 轁 轒 轔 轅 轄 ） 符连接（如 c r e a t e - c o m m e n t ）。 操作 轉 轄 映射为方法名时移除了连字符，将 每个单词首字母大写，并加上 a c t i o n 前缀。 例子：操作 轉 轄 c r e a t e - c o m m e n t 相当于方法名 a c t i o n C r e a t 方法将被调用处理请求。 信 信 信息 息 息： ： ： 与操作一样，一个应用中控制器同样有唯一的 轉 轄 。 控 制器 轉 轄 和操作 轉 轄 使用同样的命名规则。 控制器的类名源自 于控制器 轉 轄 ， 移除了连字符，每个单词首字母大写，并加上 C o n t r o l l e r 后缀。 例子：控制器 轉 轄 p o s t - c o m m e n t 相当于控制器 类名 P o s t C o m m

UID =' Admin '-­-­ ' And Passwd =' ' 注: -­-­ 符号后的字符会被当作注释，因此上例中And子 句将被SQL视为注释 19 原理 n SQL注入的产生 q 动态字符串构建 n 不正确的处理转义字符 n 不正确的处理类型 n 不正确的处理联合查询 n 不正确的处理错误 n 不正确的处理多次提交 q 不安全的数据库配置 >; ";），建议对所有字符进行编码而不仅局限于某个子集 q 明确指定输出的编码方式(如ISO 8859-­1或 UTF 8)：不要允许攻击者为你的用 户选择编码方式 q 将『<』、『>』、『%』、『/』、『()』、『&』等符号进行过滤不予输出至 网页，或限定字段长度的输入；并注意黑名单验证方式的局限性：仅仅查找或 替换一些字符(如"<" ">"或类似"script"的关键字)，很容易被XSS变种攻击绕过 inclladeonce()、reqmreonce()等 n 所有的cgi程序都可能受到这样的攻击 34 原理 n Web应用程序引入来自外部（远程）的恶意文件或者 将未经确认的输入字符串联成文件或流函数并执行其 内容造成的漏洞。 n 假设PHP程序包含： q $report = $_POST[‘file’];; include $report;; n 使用者在浏览器网址输入类似语法：

'cml_log', \Cml\Logger\File::class); //必须绑定。路由 //框架自带的路由支持restful分格的路由、路由分组。 在未 声明/未匹配到路由规则时会按url映射到文件的方式来执行相应的控制 器方法。具体参考 http://doc.cmlphp.com/devintro/route/readme.html。 //如 'show' ]); 这条路由的意思为 当用户以GET请求访问 http://域名/list/1.html 这 样的地址时，框架会执行的Article控制器的list方法。 \d为匹配数 字 :id意思为它是一个动态参数 且在控制器中可使 用 \Cml\Http\Input::getInt('id') 来接收 在模板中可以使用 {{url "list/{$id}"}} Route::get('user/add', 'api/User/add'); Route::get('user/edit', 'api/User/edit'); }); 这边定义了 v1分组 ，即匹配 v1/user/add 以 及 v1/user/edit 这两个url 多应用单独定义路由 默认情况我们的路由是定义在全局 projxx/Config/route.php 中。 但是如果我们有多个应用。

ton('cml_log', \Cml\Logger\File::class); //必须绑定。路由 //框架自带的路由支持restful分格的路由、路由分组。 在未声明/未匹配到路由规则时会按url映射到文 件的方式来执行相应的控制器方法。具体参考 http://doc.cmlphp.com/devintro/route/readme.html。 //如果想 'show' ]); 这条路由的意思为 当用户以GET请求访问 http://域名/list/1.html 这样的地址时，框架会执行的 Article控制器的list方法。 \d为匹配数字 :id意思为它是一个动态参数 且在控制器中可使 用 \Cml\Http\Input::getInt('id') 来接收 在模板中可以使用 {{url "list/{$id}"}} 生成相应的url Route::get('user/add', 'api/User/add'); Route::get('user/edit', 'api/User/edit'); }); 这边定义了 v1分组 ，即匹配 v1/user/add 以及 v1/user/edit 这两个url 多应用单独定义路由 默认情况我们的路由是定义在全局 projxx/Config/route.php 中。但是如果我们有多个应用。