使用Eloquent ORM和查询构建器可防止SQL注入,Blade模板自动转义输出防XSS,结合表单验证与CSRF保护全面提升Laravel应用安全性。
如果您在使用 Laravel 开发 Web 应用时,担心用户输入的数据可能导致 SQL 注入或 XSS 攻击,可以通过框架内置的安全机制和最佳实践来有效防范。以下是具体的防护措施。
本文运行环境:MacBook Pro,macOS Sonoma
一、使用 Eloquent ORM 防止 SQL 注入
Eloquent ORM 是 Laravel 提供的数据库抽象层,它通过预处理语句自动转义用户输入,从而避免直接拼接 SQL 语句带来的注入风险。
1、使用 Eloquent 模型进行数据查询,例如 User::where('name', $inputName)->get(),框架会自动对 $inputName 进行参数绑定。
2、避免使用原始 SQL 查询,若必须使用,请确保采用参数绑定方式。
3、当调用 DB::select、DB::update 等方法时,始终传入第二个参数作为绑定数据,如 DB::select("SELECT * FROM users WHERE active = ?", [1])。
二、使用查询构建器并避免原始表达式
Laravel 的查询构建器(Query Builder)也支持参数化查询,能有效阻止恶意 SQL 注入。
1、构建查询时使用方法链形式,如 DB::table('users')->where('status', $status)->get()。
2、禁止将用户输入直接嵌入到 DB::raw() 中,如需使用,必须配合参数绑定或严格验证输入内容。
3、对于复杂查询,优先考虑拆分为多个安全操作,而不是拼接字符串执行。
三、对输出内容进行 XSS 过滤
XSS 攻击通常通过浏览器渲染未过滤的 HTML 内容触发,Laravel 的 Blade 模板引擎默认会对变量进行转义。
1、在 Blade 模板中使用双花括号输出变量,如 {{ $userInput }},系统会自动调用 htmlspecialchars 转义特殊字符。
2、避免使用三个花括号输出原始 HTML,如 {!! $untrustedHtml !!},除非内容已通过净化处理。
3、对于允许富文本输入的场景,应结合 HTML 净化库如 HTMLPurifier 进行过滤后再存储或显示。
四、使用 Laravel 的表单验证机制
通过中间件和 Validator 组件对输入数据进行规范化检查,可提前拦截潜在攻击载荷。
1、在控制器中使用 $request->validate() 方法定义规则,例如限制字符串长度、格式等。
2、针对文本字段添加 'string', 'max:255' 等规则防止超长恶意输入。
3、对包含 URL 或邮箱的字段使用 'url'、'email' 验证规则,增强数据合法性判断。
五、启用 CSRF 保护防止跨站请求伪造
虽然 CSRF 不属于 XSS,但常与前端攻击结合利用,Laravel 默认提供中间件防护此类行为。
1、在所有 POST、PUT、DELETE 表单中添加 @csrf 指令,生成有效的隐藏令牌字段。
2、确保 VerifyCsrfToken 中间件已注册到 web 路由组,以验证每个非 GET 请求的令牌有效性。
3、对于 API 接口,建议使用 Sanctum 或 Passport 进行基于 Token 的认证,而非依赖 Session 和 CSRF。
