当前位置: 首页
数据库
如何在Laravel 11中安全编写原始SQL查询语句的详细步骤

如何在Laravel 11中安全编写原始SQL查询语句的详细步骤

热心网友 时间:2026-07-05
转载

在Lara vel 11里,直接写原生SQL其实没那么可怕,前提是用对方法。很多人一上来就试图用DB::raw()执行整条语句——但这家伙根本不执行,它只是个标记。真正干活的是这四个:DB::select()DB::insert()DB::update()DB::delete()。记住一点:DB::raw()只配当零件,别把它当发动机。

如何在Lara vel 11中安全地编写原始SQL查询语句?

SELECT 查询必须用 DB::select()

这个方法是专门为查询设计的,返回的是 stdClass 对象数组,底层自动走 PDO 预处理,天然防注入。如果你不小心塞了一句 INSERT 进去,它不会报错,但结果为空——在 MySQL 非严格模式下尤其隐蔽,排查起来够你喝一壶的。

  • 占位符只支持 ? 或者命名绑定(比如 :name)。但注意:用命名绑定时需要显式传 PDO 选项,像这样:DB::select('SELECT * FROM users WHERE name = :name', ['name' => 'Alice'], [PDO::ATTR_EMULATE_PREPARES => true])
  • IN 子句千万别写成 WHERE id IN (?)——PDO 不支持数组绑定。得手动拼占位符:DB::select("SELECT * FROM users WHERE id IN (" . implode(',', array_fill(0, count($ids), '?')) . ")", $ids)
  • 日期字段建议先用 Carbon::parse($date)->toDateTimeString() 格式化好再传进去,否则时区偏差会让你漏掉数据。
  • 返回的所有字段值都是字符串——哪怕是 TINYINT(1),拿到的也是 "1" 而非布尔值。而且不走模型生命周期,$casts、访问器统统失效。

写操作别用 DB::statement() 替代专用方法

DB::insert()DB::update()DB::delete() 这三个方法返回明确的语义(影响行数或布尔值),强制参数绑定,安全性比 DB::statement() 高出一个量级。尽量别越界。

  • DB::insert() 不会返回自增 ID。想拿到新增那行的 ID?改用 DB::table()->insertGetId() 或者 DB::getPdo()->lastInsertId()
  • DB::update()DB::delete()WHERE 条件务必先验证——漏掉条件或者类型不匹配,可能导致全表更新或删除,这可不是闹着玩的。
  • 批量插入别写循环调用 DB::insert(),应该拼成一条 INSERT INTO ... VALUES (),(),() 再用 DB::statement()
  • 顺便提醒:DB::statement() 底层走的是 PDO::exec(),不返回数据集。如果你写个 SELECT 1 进去,它会直接报错。

DB::raw() 只能嵌入构建器,不是执行入口

很多人误以为 DB::raw() 能直接执行 SQL——不,它本质上是告诉查询构建器“这段字符串我信,别转义”,它自身并不执行任何东西。错误用法:把整条 SQL 包进 DB::raw() 然后试图运行,结果只会生成一个毫无意义的 Raw 实例,代码静悄悄失败。

  • 正确用法是在 select()whereRaw()orderByRaw() 中嵌入片段,比如:User::select('id', DB::raw('DATE_FORMAT(created_at, "%Y-%m") as month'))->get()
  • whereRaw() 里仍然需要手动传参数数组:->whereRaw('created_at > DATE_SUB(NOW(), INTERVAL ? DAY)', [7])
  • 绝对不要在 whereRaw() 里拼接用户输入:->whereRaw("name = '{$name}'") 是严重的注入漏洞,基本等于把数据库密码贴到门口。
  • 字段别名必须显式写出:DB::raw('COUNT(*) as total'),否则结果里找不到 total 这个键。

最后一点容易被忽略:所有原生查询都不自动参与 Eloquent 的延迟加载、批量优化或模型事件。事务需要显式用 DB::transaction() 包裹。混用 DB::select()DB::statement() 时,如果没消费完结果集,后续查询还可能失败——细节见真章。

来源:https://www.php.cn/faq/2741639.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
phpMyAdmin批量导入多个小型SQL碎片文件方法

phpMyAdmin批量导入多个小型SQL碎片文件方法

许多开发者习惯将多个小型SQL碎片文件一同上传到phpMyAdmin的导入页面,误以为平台能像文件夹一样批量处理——但实际情况是,系统仅识别第一个文件,其余文件会被静默忽略,无法执行。 根本原因其实并不复杂:phpMyAdmin的导入机制本质上是一个单文件上传接口。其import页面仅包含一个字段,

时间:2026-07-05 07:05
phpMyAdmin设置表AUTO_INCREMENT起始值的方法

phpMyAdmin设置表AUTO_INCREMENT起始值的方法

phpMyAdmin里改AUTO_INCREMENT值,点“保存”却没反应? 其实,问题往往出在两个容易被忽视的细节上: 1 **错误点击了“保存”而非“执行”按钮**。phpMyAdmin 的“操作”页面中,AUTO_INCREMENT 输入框属于一个独立的表单。如果在字段旁点击“保存”

时间:2026-07-05 07:04
MySQL主从数据一致性检查pt-table-checksum使用方法和步骤详解

MySQL主从数据一致性检查pt-table-checksum使用方法和步骤详解

pt-table-checksum 必须在主库执行——这一点,很多初次接触的人都会踩坑。它并不是“直连从库去比对”,而是借助 binlog 复制将校验逻辑同步过去,由从库本地重新计算,再写入 percona checksums 表。简单来说,你在主库发送一条类似 REPLACE INTO perco

时间:2026-07-05 07:04
MySQL连接被阻断错误原因及解除方法

MySQL连接被阻断错误原因及解除方法

你是否遇到过 MySQL 报出 Host is blocked 的错误?先别急着怀疑密码是否正确——这本质上并非单纯的连接失败,而是你的 IP 地址已被 MySQL 主动列入黑名单。此时,即便输入完全正确的密码,数据库也会毫不留情地拒绝访问。要想立刻解除封锁,唯一的办法就是清空 host cache

时间:2026-07-05 07:04
MySQL 8.0跨库联合查询权限配置详解

MySQL 8.0跨库联合查询权限配置详解

MySQL 8 0 的跨库联合查询功能原生内置,无需额外安装插件或修改配置文件。很多开发者遇到 SQL 语法正确却报 ERROR 1142 的情况时,常会困惑——其实并非 MySQL 限制跨库操作,而是权限验证环节未通过。 简而言之,跨库查询受阻的根源通常不是功能未启用,而是权限分配不完整或授权语句

时间:2026-07-05 07:04
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 日榜
  • 周榜
  • 月榜