收紧输入渲染与后台配置权限

app/Http/Requests/UpdateRoomRequest.php

@@ -11,11 +11,16 @@
 namespace App\Http\Requests;
 
 use Illuminate\Foundation\Http\FormRequest;
+use Illuminate\Validation\Rule;
 
+/**
+ * 修改聊天室设置请求验证器
+ * 负责约束房间名称更新时的合法性，避免危险字符进入前端模板。
+ */
 class UpdateRoomRequest extends FormRequest
 {
     /**
-     * Determine if the user is authorized to make this request.
+     * 判断当前请求是否允许继续。
      */
     public function authorize(): bool
     {
@@ -24,23 +29,47 @@ class UpdateRoomRequest extends FormRequest
     }
 
     /**
-     * Get the validation rules that apply to the request.
+     * 返回修改房间设置的校验规则。
      *
      * @return array<string, \Illuminate\Contracts\Validation\ValidationRule|array<mixed>|string>
      */
     public function rules(): array
     {
         return [
-            'name' => ['required', 'string', 'max:50', 'unique:rooms,room_name,'.$this->route('id')],
+            'name' => [
+                'required',
+                'string',
+                'max:50',
+                'regex:/^[^<>]+$/u',
+                Rule::unique('rooms', 'room_name')->ignore($this->route('id')),
+            ],
             'description' => ['nullable', 'string', 'max:255'],
         ];
     }
 
+    /**
+     * 在校验前整理更新表单，避免前后空白影响唯一性与安全判断。
+     */
+    protected function prepareForValidation(): void
+    {
+        $name = $this->input('name');
+        $description = $this->input('description');
+
+        $this->merge([
+            'name' => is_string($name) ? trim($name) : $name,
+            'description' => is_string($description) ? trim($description) : $description,
+        ]);
+    }
+
+    /**
+     * 返回房间设置更新失败时的中文提示。
+     */
     public function messages(): array
     {
         return [
             'name.required' => '房间名称不能为空。',
             'name.unique' => '该房间名称已存在。',
+            'name.regex' => '房间名称不能包含尖括号。',
         ];
     }
 }