应使用 when() 处理搜索条件:仅当参数非空时添加 where,避免空值、类型不匹配、SQL 注入及模糊匹配混乱;日期/数值需显式转换与验证,多字段 OR 搜索须用闭包分组。
直接用 where 做搜索过滤,多数情况会出错——因为没处理空值、类型不匹配、SQL注入风险或模糊匹配逻辑混乱。
空参数导致 SQL 报错或结果异常
Laravel 的 where 不会自动跳过空值(比如用户没填搜索框就提交),强行拼进查询会变成 WHERE name = '' 或更糟的 WHERE name = NULL,结果不符合预期。
- 用
when()包裹条件:只有参数存在且非空时才添加where - 避免手写
if ($request->input('name')) { $query->where(...); },容易漏掉 trim 或 null 判断 - 注意
request()->get('name')可能是null、空字符串、空白字符,建议统一用request()->string('name')->trim()->toString()或先filter_var($v, FILTER_SANITIZE_STRING)
use Illuminate\Http\Request;
$query = User::query();
$query->when(request('name'), function ($q, $name) {
return $q->where('name', 'like', "%{$name}%");
});
$query->when(request('status'), function ($q, $status) {
return $q->where('status', $status);
});
$users = $query->get();
模糊搜索该用 like 还是 whereRaw
like 足够常用且安全;whereRaw 易引入 SQL 注入,除非必须用全文索引或正则。
-
where('title', 'like', "%{$keyword}%")→ 适合简单包含匹配 -
where('title', 'like', "{$keyword}%")→ 前缀匹配,可走索引(B-tree) - 避免
whereRaw("title LIKE '%?%'", [$keyword]),问号不会被自动转义,$keyword含%或_会破坏逻辑 - 真要用
whereRaw,得手动addcslashes($keyword, '%_\\')并声明 escape
多个字段联合搜索(OR 逻辑)
默认 where 是 AND,搜“张三”想在 name 或 email 都匹配,得用 orWhere,但要注意括号分组,否则优先级错乱。
- 错误写法:
$q->where('name', 'like', "%x%")->orWhere('email', 'like', "%x%")→ 整个条件变成 OR 开头,可能绕过其他 where - 正确写法:用
where(function ($q) { ... })包住 OR 组 - 如果字段多、逻辑复杂,考虑用
whereExists或数据库全文检索(如 MySQL 5.6+ 的MATCH AGAINST)
$query->when(request('keyword'), function ($q, $keyword) {
$q->where(function ($q) use ($keyword) {
$q->where('name', 'like', "%{$keyword}%")
->orWhere('email', 'like', "%{$keyword}%")
->orWhere('phone', 'like', "%{$keyword}%");
});
});
日期范围、数值区间等非字符串搜索的陷阱
用户传来的 start_date 和 end_date 很可能是字符串,Laravel 不会自动 cast 成 Carbon 或时间戳,直接 whereBetween 会查不到数据。
- 始终对日期做验证和转换:
$startDate = \Carbon\Carbon::createFromFormat('Y-m-d', request('start_date')) - 数值类(如 price_min / price_max)务必用
filter_var(..., FILTER_VALIDATE_FLOAT)或强转(float),防止字符串比较 - 注意时区:数据库存的是 UTC,但用户按本地时间选范围,需用
->timezone('UTC')转换 - 用
whereDate()替代whereBetween()查日期(不含时分秒)更稳妥
复杂搜索最终往往要拆成「基础筛选」+「关键词搜索」+「高级条件」三层结构,别堆在一个 query 里硬写。字段越多,越要提前 validate 和 normalize 输入——这比调 where 写法重要得多。
