那些遇到过的问题

如何防止Laravel中的SQL注入?

gus*_*ans 15 laravel-4

在我的控制器中,我有这个代码:

public function create($brand_id)
{
    Brand::findOrFail($brand_id);
}
Run Code Online (Sandbox Code Playgroud)

还有这个:

public function search() 
{
    $q = Input::get('q');
    $brands = Brand::where('title', 'LIKE', '%'.$q.'%')->take(80)->get();
Run Code Online (Sandbox Code Playgroud)

这段代码安全吗?"安全"我的意思是SQL注入安全.或者我应该在这里做一些变量清理?清理用户输入的最佳方法是什么?非常感谢帮助我:)

Mas*_*Bee 22

是Eloquent在场景后面使用参数绑定,它可以安全地转义where()中使用的任何输入.

  • 但是在使用带有查询构建器的原始语句时,它不会保护您. (6认同)
  • @OkiemuteOmuta嗯,如果它不安全你能提供一个例子吗?因为文档说明:注意:Laravel查询构建器始终使用PDO参数绑定来保护您的应用程序免受SQL注入攻击.无需清除作为绑定传递的字符串. (4认同)

小智 6

文档说 Eloquent 在幕后处理这个,但你也可以使用 like DB::escape($q)来保证安全

  • 如果它说它确实如此,并且代码显然证明它确实如此,那么这不是不必要的开销吗?您已经处于更安全的一侧。 (2认同)

归档时间:

查看次数:

22545 次

最近记录:

6 年,2 月 前
相关归档
不使用Artisan的维护模式? 29
Laravel 4定义了RESTful控制器 16
Schema Builder整数的长度 12
Laravel IoC和单例模式 6
在 Laravel Eloquent 中使用桥接表的关系 4
在Laravel 4上安装FPDF 3
在Laravel中覆盖包本地化 3
小数的Laravel验证规则 2
Laravel定制服务提供商用于验证器 2
在Facades类中的Laravel常量 2
难疑归档
使用JavaScript获取当前网址? 2882
如何异步上传文件? 2841
如何使用jQuery刷新页面? 2361
如何在JavaScript中获取当前日期? 2152
如何从Java中的字符串值获取枚举值? 1890
Python中的switch语句的替换? 1719
从Git提交中删除文件 1484
循环遍历Bash中的文件内容 1242
检查Bash shell脚本中是否存在输入参数 1223
CSS calc()函数中的Sass变量 1182