查询构建器中如果需要使用mysql函数,如何防止注入


原生Sql:   select * from product where DATE_FORMAT(addtime,'%Y%m')=$month

$month是get过来的,用户选择的月份

DB::table('product')->whereRaw("DATE_FORMAT(bc_m_caozuo.opdate,'%Y%m')='$month'")->get()

这里直接用->where  就执行不了Date_FORMAT()函数了

但这样$month应该是没有预处理的,如何防止sql注入呢,需要另外过滤吗?

是不是还有别的写法,请指教,谢谢!


Vote Vote Cancel Collect Collect Cancel

<< 上一篇: blade 能不能实现 自动 include 子视图?

>> 下一篇: laravel 中间件 after 控制器返回值不能修改 否则 Call to a member function send() type