laravel如何进行安全的SQL查询以防止注入_Laravel安全SQL查询防注入方法

使用Eloquent和Query Builder并配合参数绑定可有效防止SQL注入。Laravel通过PDO预处理机制自动转义参数，确保安全；应避免拼接用户输入，尤其在whereRaw等原生语句中需使用?占位符绑定变量；所有用户输入均需验证，对ID类字段强制类型转换，并禁止将用户输入直接用于表名、字段名或排序操作，从而全面防御注入风险。

在 Laravel 中进行安全的 SQL 查询，防止 SQL 注入的核心方法是避免拼接用户输入到原生 SQL，并优先使用框架提供的安全机制。Laravel 通过底层的 PDO 预处理语句（Prepared Statements）自动转义参数，从根本上防御 SQL 注入。

使用 Eloquent ORM 和 Query Builder

Laravel 的 Eloquent 模型和查询构造器（Query Builder）默认使用预处理语句，只要不拼接原始 SQL，就是安全的。

• User::where('id', $id)->first();
• DB::table('users')->where('email', $email)->get();
• User::where('name', 'like', '%' . $name . '%')->get(); —— 即使模糊查询，参数仍会被绑定

避免使用 whereRaw、havingRaw 等原生表达式

当必须使用原生 SQL 片段时，如 whereRaw、selectRaw、orderByRaw，务必对用户输入进行参数绑定，而不是直接拼接。

蓝心千询

蓝心千询是vivo推出的一个多功能AI智能助手

34

查看详情

• ->whereRaw("name = '{$name}'") —— 用户输入被直接拼接，存在注入风险

• ->whereRaw('name = ?', [$name])
• ->whereRaw('age > ? AND status = ?', [$age, $status])

使用 DB::statement 和 DB::select 要谨慎

执行原生 SQL 语句时，如 DB::select() 或 DB::statement()，必须使用参数绑定。

• DB::select('SELECT * FROM users WHERE active = ?', [1]);
• DB::update('UPDATE users SET votes = ? WHERE id = ?', [$votes, $id]);

不要信任任何用户输入

无论是 GET、POST、路由参数还是 JSON 输入，都应视为不可信数据。结合 Laravel 的表单请求验证（Form Request）提前过滤和校验输入。

• 使用 $request->validate() 限制字段类型和格式
• 对 ID 类字段强制 (int) 转换：$id = (int)$request->id;
• 避免将用户输入直接用于表名、字段名或排序字段（这些无法通过参数绑定保护）

基本上就这些。只要坚持使用 Eloquent 或 Query Builder 的标准方法，原生 SQL 使用参数占位符（?）绑定变量，再配合输入验证，就能有效防止 SQL 注入。Laravel 已经为你做了大部分安全工作，关键是别绕过它。

以上就是laravel如何进行安全的SQL查询以防止注入_Laravel安全SQL查询防注入方法的详细内容，更多请关注php中文网其它相关文章！