查询构建器中如果需要使用mysql函数,如何防止注入

zoojoo 创建于5年前, 最后更新于 5年前    版本号 #1    3479 views    0 likes    0 collects

原生Sql:   select * from product where DATE_FORMAT(addtime,'%Y%m')=$month

$month是get过来的,用户选择的月份

DB::table('product')->whereRaw("DATE_FORMAT(bc_m_caozuo.opdate,'%Y%m')='$month'")->get()

这里直接用->where  就执行不了Date_FORMAT()函数了

但这样$month应该是没有预处理的,如何防止sql注入呢,需要另外过滤吗?

是不是还有别的写法,请指教,谢谢!

Laravel
数据库
函数
点赞 取消点赞 收藏 取消收藏

<< 上一篇: blade 能不能实现 自动 include 子视图?

>> 下一篇: laravel 中间件 after 控制器返回值不能修改 否则 Call to a member function send() type

2 条评论
#1    学院君   学院君 评论于 5年前

这种也支持占位符啊:

whereRaw("DATE_FORMAT(bc_m_caozuo.opdate,'%Y%m')='?'", [$month])
#2    zoojoo   zoojoo 评论于 5年前

非常感谢!!!

登录后即可添加评论