1. 首页
  2. 问答
  3. 原始查询内部查询生成器可以使用laravel查询生成器保护sql注入?

原始查询内部查询生成器可以使用laravel查询生成器保护sql注入?

2017-09-25 101 views
0

我想知道什么时候在laravel query builer中使用查询生成器中的原始查询,如下所示。原始查询内部查询生成器可以使用laravel查询生成器保护sql注入?

$salesdata = DB::table('HEADER') 
       ->join('BRANCH', 'HEADER.BRANCHCODE', '=', 'BRANCH.BRANCHCODE') 
       ->select('HEADER.BRANCHCODE','BRANCH.BRANCHNAME', 
        DB::raw('SUM("HEADER"."AMT") as netamt'), 
        DB::raw('SUM("HEADER"."AMT") + SUM("HEADER"."DISCOUNT")- SUM("HEADER"."TAX1")- SUM("T_CASH_HEADER"."TAX2") as grossamt'),'BRANCH.BRANCHNAME', 
        DB::raw('SUM("HEADER"."COVER") as NetCover'), 
        DB::raw('SUM("HEADER"."DISCOUNT") as discount'),DB::raw('SUM("HEADER"."TAX1") as tax'),DB::raw('round(SUM("HEADER"."AMT")/SUM("HEADER"."COVER"),2) as avg')) 
       ->whereBetween('HEADER.INVOICEDATE', [$fromDate, $toDate]) 
       ->groupBy('BRANCH.BRANCHCODE','BRANCH.BRANCHNAME','HEADER.BRANCHCODE') 
       ->orderBy('AMT','ASC') 
       ->get();

我想知道上面的查询可以确定使用laravel进行sql注入。

来源

2017-09-25 Shwe Myatmon

+0

你必须看看laravel的源代码,看看它给你的变量做了什么。希望它参数化他们。 – ADyson

回答

1

不,您没有将任何用户输入传递到您的select语句,只有在->whereBetween('HEADER.INVOICEDATE', [$fromDate, $toDate])语句中,并且这将使用PDO参数绑定来防止SQL注入。所以,这是安全的!

来源

2017-09-25 09:46:40

+0

如果他还事先验证了使用DateTime类的字符串,他会确定输入是安全的 – delboy1978uk

+0

谢谢xo much .. –

相关问题

 相关问题