Php 如何在Laravel 5.2中使用准备好的语句
我在Laravel5.2中创建了一个简单的insert语句,如下所示Php 如何在Laravel 5.2中使用准备好的语句,php,mysql,laravel-5.2,Php,Mysql,Laravel 5.2,我在Laravel5.2中创建了一个简单的insert语句,如下所示 User::create([ 'email' => $request->input('email'), 'username' => $request->input('username'), 'password' => bcrypt($request->input('password')), ]); 但我希望我的数据库更安全,所以我更喜
User::create([
'email' => $request->input('email'),
'username' => $request->input('username'),
'password' => bcrypt($request->input('password')),
]);
密码User::insert('insert into users (email, username, password) values (?,?,?)');
Eloquent在幕后为您做到这一点,在完成了所有精彩的工作之后,最终,Eloquent调用了
PDO::prepare()PDO::bindValue()PDO::execute()
浏览illumb\Database\Connection
的代码,以了解其要点
您需要注意的唯一一件事是不要将DB::raw()
与直接提供的用户输入一起使用,例如:
// This is bad
DB::raw('SELECT * FROM table_name WHERE col = '.$request->query('col'));
// This is good
DB::raw('SELECT * FROM table_name WHERE col = ?', [$request->query('col')]);
//or
DB::raw('SELECT * FROM table_name WHERE col = :col', ['col' => $request->query('col')]);
Eloquent在幕后为您做到这一点,在完成了所有精彩的工作之后,最终,Eloquent调用了PDO::prepare()
,PDO::bindValue()
,最后是PDO::execute()
浏览illumb\Database\Connection
的代码,以了解其要点
您需要注意的唯一一件事是不要将DB::raw()
与直接提供的用户输入一起使用,例如:
// This is bad
DB::raw('SELECT * FROM table_name WHERE col = '.$request->query('col'));
// This is good
DB::raw('SELECT * FROM table_name WHERE col = ?', [$request->query('col')]);
//or
DB::raw('SELECT * FROM table_name WHERE col = :col', ['col' => $request->query('col')]);
雄辩的ORM负责处理这些安全问题。在我的第一句话中使用hash::make()
@Daan这个已经安全了吗?是的@francisunox只把这个'password'=>bcrypt($request->input('password'))
改成'password'=>hash::make($request->input('password'))
@Daan这两者之间有什么区别('password'))'password'=>bcrypt($request->input('password'))bcrypt('password')hash::make('password'))hash::make()'password'=>bcrypt($request->input('password'))'password'=>Hash::make($request->input('password'))'password'=>Hash::make($request->input('password'))'password'=>bcrypt($request->input('password'))bcrypt('password'))Hash::make('password'))DB::selectDB::rawDB::selectDB::raw