在 laravel 中,使用原生 sql 查询时直接通过 `:id` 绑定逗号拼接的字符串(如 `"6,7,8,9"`)无法实现 `in` 语义,会导致只匹配首个值;应改用 query builder 的 `wherein()` 方法,由框架自动安全处理参数绑定与占位符扩展。
当你在 Laravel 中执行类似 WHERE id IN (:id) 的原生查询,并将 $id 数组通过 implode(',', $id) 转为字符串后传入绑定参数时,数据库实际接收到的是一个单一字符串值(例如 '6,7,8,9'),而非四个独立参数。因此 SQL 解析器会将其视为单个字面量,等价于 WHERE id IN ('6,7,8,9') —— 这通常只会匹配 id 字段值恰好等于该字符串的记录(几乎不存在),或因类型隐式转换意外命中第一条(如 id = 6),从而造成“仅返回一条结果”的假象。
✅ 正确做法是使用 Laravel 查询构建器(Query Builder)的 whereIn() 方法:
$id = [6, 7, 8, 9];
$result = DB::table('failed_jobs')
->where('connection', 'redis')
->whereIn('id', $id)
->get();该方式优势显著:
- 安全性:自动为每个数组元素生成独立占位符(如 WHERE id IN (?, ?, ?, ?)),杜绝 SQL 注入风险;
- 兼容性:适配所有 Laravel 支持的数据库驱动(MySQL、PostgreSQL、SQLite 等);
- 可读性与可维护性:语义清晰,无需手动拼接 SQL 字符串;
- 类型感知:支持整型、字符串、UUID 等多种数据类型,框架自动处理类型转换与引号包裹。
⚠️ 补充说明:
- 若必须使用原生查询(如复杂子查询、窗口函数等),可通过动态生成占位符实现安全绑定:
$id = [6, 7, 8, 9]; $placeholders = str_repeat('?,', count($id) - 1) . '?'; $result = DB::select( "SELECT * FROM failed_jobs WHERE id IN ($placeholders) AND connection = ?", array_merge($id, ['redis']) ); - 避免对 whereIn() 传入空数组 —— Laravel 会抛出异常,建议前置校验:if ($id) { ... }。
总之,优先选用 Query Builder 提供的高级方法,既保障代码健壮性,又提升开发效率与可维护性。
