使用Eloquent和Query Builder并配合参数绑定可有效防止SQL注入。Laravel通过PDO预处理机制自动转义参数,确保安全;应避免拼接用户输入,尤其在whereRaw等原生语句中需使用?占位符绑定变量;所有用户输入均需验证,对ID类字段强制类型转换,并禁止将用户输入直接用于表名、字段名或排序操作,从而全面防御注入风险。
在 Laravel 中进行安全的 SQL 查询,防止 SQL 注入的核心方法是避免拼接用户输入到原生 SQL,并优先使用框架提供的安全机制。Laravel 通过底层的 PDO 预处理语句(Prepared Statements)自动转义参数,从根本上防御 SQL 注入。
使用 Eloquent ORM 和 Query Builder
Laravel 的 Eloquent 模型和查询构造器(Query Builder)默认使用预处理语句,只要不拼接原始 SQL,就是安全的。
✅ 安全示例:User::where('id', $id)->first();DB::table('users')->where('email', $email)->get();User::where('name', 'like', '%' . $name . '%')->get(); —— 即使模糊查询,参数仍会被绑定
避免使用 whereRaw、havingRaw 等原生表达式
当必须使用原生 SQL 片段时,如 whereRaw、selectRaw、orderByRaw,务必对用户输入进行参数绑定,而不是直接拼接。
❌ 不安全写法:->whereRaw("name = '{$name}'") —— 用户输入被直接拼接,存在注入风险✅ 正确做法:使用参数绑定->whereRaw('name = ?', [$name])->whereRaw('age > ? AND status = ?', [$age, $status])
使用 DB::statement 和 DB::select 要谨慎
执行原生 SQL 语句时,如 DB::select() 或 DB::statement(),必须使用参数绑定。
✅ 安全示例:DB::select('SELECT * FROM users WHERE active = ?', [1]);DB::update('UPDATE users SET votes = ? WHERE id = ?', [$votes, $id]);
不要信任任何用户输入
无论是 GET、POST、路由参数还是 JSON 输入,都应视为不可信数据。结合 Laravel 的表单请求验证(Form Request)提前过滤和校验输入。
使用 $request->validate() 限制字段类型和格式对 ID 类字段强制 (int) 转换:$id = (int)$request->id;避免将用户输入直接用于表名、字段名或排序字段(这些无法通过参数绑定保护)
基本上就这些。只要坚持使用 Eloquent 或 Query Builder 的标准方法,原生 SQL 使用参数占位符(?)绑定变量,再配合输入验证,就能有效防止 SQL 注入。Laravel 已经为你做了大部分安全工作,关键是别绕过它。
以上就是laravel如何进行安全的SQL查询以防止注入_Laravel安全SQL查询防注入方法的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/6929.html
微信扫一扫 
支付宝扫一扫 
