news 2026/7/17 19:02:46

Laravel 所有查询(包括 Eloquent)最终都通过 PDO::prepare() + PDOStatement::execute() 执行。

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
Laravel 所有查询(包括 Eloquent)最终都通过 PDO::prepare() + PDOStatement::execute() 执行。

这句话在绝大多数情况下是正确的Laravel 中所有通过 Query Builder 或 Eloquent 发起的数据库查询,最终都会经由PDO::prepare()+PDOStatement::execute()执行。这是 Laravel 实现SQL 注入防护跨数据库兼容性的核心技术机制。

但为了严谨,我们需明确其适用范围、例外情况、底层细节,做到“知其然,更知其所以然”。


✅ 一、正常路径:几乎所有查询都走预处理

1.Eloquent 查询
User::where('email','john@example.com')->first();
  • 编译为 SQL:SELECT * FROM users WHERE email = ?
  • 绑定参数:['john@example.com']
  • 执行路径:
    $pdo=$connection->getPdo();$stmt=$pdo->prepare("SELECT * FROM users WHERE email = ?");$stmt->bindValue(1,'john@example.com',PDO::PARAM_STR);$stmt->execute();// ← 最终调用
2.Query Builder
DB::table('users')->insert(['name'=>'John']);
  • 同样生成带占位符的 SQL,通过PDOStatement::execute()执行。
3.原生查询(带绑定)
DB::select('SELECT * FROM users WHERE id = ?',[1]);
  • 显式使用绑定,必然走预处理。

🔒安全基石:因为参数通过bindValue()execute($bindings)传递,与 SQL 模板分离,数据库在解析阶段就区分“代码”与“数据”,彻底阻断 SQL 注入。


⚠️ 二、例外情况:绕过预处理的“危险操作”

虽然 Laravel默认且推荐使用预处理,但开发者主动选择时,可绕过它:

1.DB::statement()执行无绑定的原生 SQL
DB::statement("DELETE FROM users WHERE created_at < '2020-01-01'");
  • 若 SQL 中不含参数绑定,Laravel 会直接调用PDO::exec()(非prepare+execute)。
  • 但若传入用户输入且未绑定,极易导致注入!
2.DB::raw()+ 字符串拼接(反模式)
// ❌ 危险!绕过绑定,直接拼接$where="email = '".$userInput."'";User::whereRaw("{$where}")->get();
  • 此时 SQL 完全由字符串构成,Laravel 无法干预,直接传给prepare()但无参数绑定
  • 虽仍调用prepare(),但因无占位符,等效于不安全执行。

✅ 正确用法:

User::whereRaw('email = ?',[$userInput])->get();// 安全,走预处理
3.Schema 操作(Migration)
Schema::create('users',function(Blueprint$table){...});
  • DDL 语句(CREATE, ALTER)通常不支持参数绑定,故直接通过PDO::exec()执行。
  • 但因 DDL 一般不包含用户输入,风险较低。

🔬 三、底层验证:Laravel 源码如何执行?

Illuminate\Database\Connection中:

// 执行带绑定的查询(SELECT, INSERT, UPDATE...)protectedfunctionrunQueryCallback($query,$bindings,Closure$callback){try{$result=$callback($query,$bindings);}catch(PDOException$e){// 包装为 QueryExceptionthrownewQueryException($query,$bindings,$e);}return$result;}// 示例:select 方法内部publicfunctionselect($query,$bindings=[],$useReadPdo=true){return$this->run($query,$bindings,function($query,$bindings)use($useReadPdo){$pdo=$this->getPdoForSelect($useReadPdo);$statement=$pdo->prepare($query);// ← prepare$this->bindValues($statement,$bindings);// ← bind$statement->execute();// ← executereturn$statement->fetchAll(/* ... */);});}

✅ 可见:只要查询有$bindings,就必然走prepare+bind+execute


📌 四、重要补充:模拟预处理(Emulated Prepares)

PDO 有两种预处理模式:

模式行为Laravel 默认
Native Prepares(ATTR_EMULATE_PREPARES = false)SQL 与参数分别发送到数据库服务器,由 DB 引擎处理默认启用
Emulated Prepares(= true)PDO 在 PHP 层拼接 SQL,再发送完整语句❌ 禁用

Laravel 在连接器中显式关闭模拟预处理config/database.php中默认设置):

'options'=>extension_loaded('pdo_mysql')?array_filter([PDO::MYSQL_ATTR_SSL_VERIFY_SERVER_CERT=>false,PDO::ATTR_EMULATE_PREPARES=>false,// ← 关键!]):[],

✅ 这确保了真·预处理,即使在极端情况下(如二进制数据、特殊字符)也能安全执行。


✅ 结论

说法是否成立说明
“Laravel 所有查询都通过prepare()+execute()执行”基本成立只要使用了参数绑定(Laravel 默认行为),就一定走此路径
“包括 Eloquent”✅ 成立Eloquent 最终调用 Query Builder → Connection → PDO
“100% 无例外”❌ 不严谨DB::statement("raw sql")、DDL、错误使用DB::raw()可能绕过绑定,但仍可能调用prepare()(只是无参数)

🔑核心要义
Laravel 的安全默认行为是——所有含动态值的查询,都通过带参数绑定的预处理语句执行。
开发者只要不手动拼接 SQL,即可天然免疫 SQL 注入。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/17 15:10:03

《恶霸鲁尼》Windows 10终极兼容性修复:简单三步告别崩溃

《恶霸鲁尼》Windows 10终极兼容性修复&#xff1a;简单三步告别崩溃 【免费下载链接】SilentPatchBully SilentPatch for Bully: Scholarship Edition (fixes crashes on Windows 10) 项目地址: https://gitcode.com/gh_mirrors/si/SilentPatchBully 还在为《恶霸鲁尼&…

作者头像 李华
网站建设 2026/7/17 10:05:53

Llama-Factory训练时如何优化LoRA适配器位置?

Llama-Factory训练时如何优化LoRA适配器位置&#xff1f; 在大模型时代&#xff0c;微调不再是少数机构的专属能力。随着消费级GPU也能跑7B甚至70B级别的模型&#xff0c;越来越多开发者开始尝试定制自己的AI助手。但问题也随之而来&#xff1a;同样是用LoRA微调&#xff0c;为…

作者头像 李华
网站建设 2026/7/17 8:45:27

2025年12月12日最热门的开源项目(Github)

以下是对本期榜单的详细分析&#xff1a; 1. 项目语言分布 TypeScript 项目占比较大&#xff0c;共6个&#xff08;1&#xff0c;3&#xff0c;5&#xff0c;11&#xff0c;12&#xff0c;15中部分&#xff09;。Python 项目数量较多&#xff0c;有4个&#xff08;4&#xff0…

作者头像 李华
网站建设 2026/7/17 13:42:19

2025-12-13 全国各地响应最快的 BT Tracker 服务器(联通版)

数据来源&#xff1a;https://bt.me88.top 序号Tracker 服务器地域网络响应(毫秒)1http://211.75.210.221:6969/announce上海联通252udp://103.251.166.126:6969/announce北京联通1293http://193.31.26.113:6969/announce北京联通1324http://45.13.119.213:6969/announce北京联…

作者头像 李华
网站建设 2026/7/17 15:06:12

scrcpy录制功能终极指南:从入门到精通完整教程

您是否曾经需要录制Android设备屏幕&#xff0c;却发现操作复杂、效果不理想&#xff1f;或者录制出来的视频音画不同步&#xff0c;让人头疼不已&#xff1f;别担心&#xff0c;scrcpy录制功能为您提供了完美的解决方案&#xff01; 【免费下载链接】scrcpy Display and contr…

作者头像 李华
网站建设 2026/7/17 5:36:41

Mem Reduct内存优化指南:5分钟让你的Windows系统重获新生

你的电脑是否经常出现这些症状&#xff1a;打开浏览器要等半天&#xff0c;运行软件时频繁卡顿&#xff0c;系统响应越来越慢&#xff1f;这很可能是内存管理不善导致的系统"消化不良"。今天&#xff0c;我要为你介绍一款轻量级的内存优化工具——Mem Reduct&#xf…

作者头像 李华