查询构建器中如果需要使用mysql函数,如何防止注入

Created 6 years ago by zoojoo, Updated 6 years ago    Revision #1    2932 views    0 likes    0 collects

原生Sql:   select * from product where DATE_FORMAT(addtime,'%Y%m')=$month

$month是get过来的,用户选择的月份

DB::table('product')->whereRaw("DATE_FORMAT(bc_m_caozuo.opdate,'%Y%m')='$month'")->get()

这里直接用->where  就执行不了Date_FORMAT()函数了

但这样$month应该是没有预处理的,如何防止sql注入呢,需要另外过滤吗?

是不是还有别的写法,请指教,谢谢!

Laravel
数据库
函数
Vote Vote Cancel Collect Collect Cancel

<< 上一篇: blade 能不能实现 自动 include 子视图?

>> 下一篇: laravel 中间件 after 控制器返回值不能修改 否则 Call to a member function send() type

2 Comments
#1    学院君   学院君 commented 6 years ago

这种也支持占位符啊:

whereRaw("DATE_FORMAT(bc_m_caozuo.opdate,'%Y%m')='?'", [$month])
#2    zoojoo   zoojoo commented 6 years ago

非常感谢!!!

登录后即可添加评论