在Laravel中执行原生SQL需通过DB门面,使用select、insert、update等方法结合参数绑定防止SQL注入;复杂查询、性能优化或数据库特有功能场景下原生SQL更适用,但应优先使用Eloquent以保证可维护性。
很多时候,我们在Laravel开发中享受着Eloquent ORM带来的便利和优雅,它让数据库操作变得直观而高效。然而,总有那么些场景,Eloquent的抽象层级可能无法满足我们对数据库操作的极致需求,比如复杂的报表查询、特定的数据库函数调用,或者仅仅是为了追求那一丝性能的优化。这时候,直接执行原生SQL语句就成了我们不可或缺的利器。Laravel并没有将我们锁死在ORM的框架里,它提供了非常灵活且安全的方式来直接与数据库底层交互,让我们可以在需要时,毫不犹豫地拿起原生SQL这把“瑞士军刀”。
解决方案:
在Laravel中执行原生SQL,主要通过DB门面(Facade)来完成。它提供了一系列方法,可以安全、有效地执行各种类型的SQL查询。
最常用的莫过于DB::select()方法,用于执行SELECT语句并获取结果。它会返回一个包含stdClass对象数组的结果集,每个对象代表一行数据。
use Illuminate\Support\Facades\DB;
// 使用问号占位符进行参数绑定
$users = DB::select('SELECT * FROM users WHERE active = ?', [1]);
// 也可以使用命名绑定,这在处理大量参数时更为清晰和易读
$users = DB::select('SELECT * FROM users WHERE active = :active AND type = :type', ['active' => 1, 'type' => 'admin']);如果你需要执行INSERT、UPDATE或DELETE语句,并且不需要返回任何结果(或者只关心受影响的行数),DB::insert()、DB::update()和DB::delete()方法就派上用场了。它们都返回受影响的行数。
// 插入数据,同样支持参数绑定
$result = DB::insert('INSERT INTO users (name, email, password) VALUES (?, ?, ?)', ['John Doe', 'john@example.com', bcrypt('password')]);
// $result 会是 1 (如果插入成功)
// 更新数据
$affected = DB::update('UPDATE users SET votes = 100 WHERE name = ?', ['John']);
// $affected 是受影响的行数
// 删除数据
$deleted = DB::delete('DELETE FROM users WHERE active = 0');
// $deleted 是被删除的行数对于那些不返回任何结果的通用数据库语句,比如创建表、修改表结构、存储过程调用等,可以使用DB::statement()方法。
// 执行DDL语句
DB::statement('DROP TABLE IF EXISTS old_users');
DB::statement('CREATE TABLE new_users (id INT PRIMARY KEY, name VARCHAR(255))');值得一提的是,如果你只是想在Eloquent查询中嵌入一个SQL片段,而不是执行完整的原生SQL查询,DB::raw()方法就非常有用。它将字符串标记为“原生表达式”,让数据库驱动程序在构建最终SQL时不对其进行转义。
// 在select子句中使用DB::raw()来计算字段
$users = DB::table('users')
->select('name', DB::raw('count(*) as user_count'))
->where('active', 1)
->groupBy('name')
->get();
// 甚至可以在where条件中使用whereRaw来嵌入原生SQL片段,并进行参数绑定
$users = DB::table('users')
->whereRaw('age > ? AND votes < ?', [25, 100])
->get();这大概是每个Laravel开发者都会遇到的一个抉择点。我的经验是,当你发现Eloquent的链式调用开始变得冗长、复杂,或者需要进行一些Eloquent本身不支持的数据库操作时,原生SQL的优势就凸显出来了。
具体来说,有这么几种情况,你会发现原生SQL更加得心应手:
JOIN逻辑、窗口函数(Window Functions,如ROW_NUMBER())、或者聚合函数与特定条件结合,Eloquent虽然也能做到,但生成的SQL可能不够优化,或者代码可读性会下降。直接写原生SQL能让你对查询的每一个细节都了如指掌,更容易进行性能调优。->toSql()和->getBindings()来查看生成的SQL。有时,直接在数据库客户端中运行这些原生SQL,或者直接编写简化版的原生SQL来验证某个逻辑,会比反复调整Eloquent查询更高效、更直观。当然,选择原生SQL也意味着你失去了Eloquent提供的一些便利,比如自动类型转换、模型事件、关联关系管理等。所以,这始终是一个权衡的过程:在可维护性和灵活性之间找到最佳平衡点。我的建议是,优先使用Eloquent,只有当它确实无法满足需求时,才考虑原生SQL。
安全性是执行原生SQL时必须摆在首位的问题,SQL注入攻击的危害不言而喻,轻则数据泄露,重则系统瘫痪。幸运的是,Laravel在设计DB门面时已经考虑到了这一点,为我们提供了非常可靠的防护机制。
核心原则是:永远不要直接将用户输入拼接到SQL查询字符串中。 相反,我们应该使用参数绑定(Parameter Binding)。
当你使用DB::select()、DB::insert()、DB::update()、DB::delete()这些方法时,它们都接受一个参数数组作为第二个参数。Laravel会在底层使用预处理语句(Prepared Statements)来处理这些参数。
// 错误示例:直接拼接用户输入,极易导致SQL注入
// $name = $_GET['name']; // 假设用户输入了 ' OR 1=1 --
// $users = DB::select("SELECT * FROM users WHERE name = '$name'");
// 最终SQL可能变成 SELECT * FROM users WHERE name = '' OR 1=1 --',导致查询所有数据
// 正确示例:使用参数绑定
$name = $_GET['name'] ?? 'Guest'; // 假设这是来自用户的输入
$users = DB::select('SELECT * FROM users WHERE name = ?', [$name]);
// 数据库会把 $name 当作一个完整的字符串值来处理,即使它包含恶意字符
// 或者使用命名绑定,可读性更好
$email = $_GET['email'] ?? 'guest@example.com';
$user = DB::select('SELECT * FROM users WHERE email = :email', ['email' => $email]);参数绑定是如何工作的?
当数据库接收到一个带有参数绑定的查询时,它会先解析SQL语句的结构,然后再将绑定的值填充进去。这意味着,即使你的用户输入中包含恶意的SQL代码(比如' OR 1=1 --),数据库也会将其视为一个普通字符串值,而不是SQL指令的一部分。这就像你给一个模板填空,模板结构是固定的,你填入的内容不会改变模板本身的意义。
关于DB::raw():
DB::raw()方法本身不会进行参数绑定,因为它就是用来插入“原生”SQL片段的。这意味着,如果你在DB::raw()中使用了用户输入,你必须自己负责清理和转义。
// 错误示例:
以上就是Laravel Eloquent如何进行原生SQL查询_执行原生数据库语句的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
829
收藏
