使用Eloquent和Query Builder并配合参数绑定可有效防止SQL注入。Laravel通过PDO预处理机制自动转义参数,确保安全;应避免拼接用户输入,尤其在whereRaw等原生语句中需使用?占位符绑定变量;所有用户输入均需验证,对ID类字段强制类型转换,并禁止将用户输入直接用于表名、字段名或排序操作,从而全面防御注入风险。
在 Laravel 中进行安全的 SQL 查询,防止 SQL 注入的核心方法是避免拼接用户输入到原生 SQL,并优先使用框架提供的安全机制。Laravel 通过底层的 PDO 预处理语句(Prepared Statements)自动转义参数,从根本上防御 SQL 注入。
使用 Eloquent ORM 和 Query Builder
Laravel 的 Eloquent 模型和查询构造器(Query Builder)默认使用预处理语句,只要不拼接原始 SQL,就是安全的。
✅ 安全示例:User::where('id', $id)->first();DB::table('users')->where('email', $email)->get();-
User::where('name', 'like', '%' . $name . '%')->get();—— 即使模糊查询,参数仍会被绑定
避免使用 whereRaw、havingRaw 等原生表达式
当必须使用原生 SQL 片段时,如 whereRaw、selectRaw、orderByRaw,务必对用户输入进行参数绑定,而不是直接拼接。
❌ 不安全写法:-
->whereRaw("name = '{$name}'")—— 用户输入被直接拼接,存在注入风险
->whereRaw('name = ?', [$name])->whereRaw('age > ? AND status = ?', [$age, $status])
使用 DB::statement 和 DB::select 要谨慎
执行原生 SQL 语句时,如 DB::select() 或 DB::statement(),必须使用参数绑定。
DB::select('SELECT * FROM users WHERE active = ?', [1]);DB::update('UPDATE users SET votes = ? WHERE id = ?', [$votes, $id]);
不要信任任何用户输入
无论是 GET、POST、路由参数还是 JSON 输入,都应视为不可信数据。结合 Laravel 的表单请求验证(Form Request)提前过滤和校验输入。
- 使用
$request->validate()限制字段类型和格式 - 对 ID 类字段强制 (int) 转换:
$id = (int)$request->id; - 避免将用户输入直接用于表名、字段名或排序字段(这些无法通过参数绑定保护)
基本上就这些。只要坚持使用 Eloquent 或 Query Builder 的标准方法,原生 SQL 使用参数占位符(?)绑定变量,再配合输入验证,就能有效防止 SQL 注入。Laravel 已经为你做了大部分安全工作,关键是别绕过它。
