对,但是…
是的,当您依赖内置的ORM功能时,它可以防止SQL注入
$someModelInstance->save()。从文档:
Laravel的数据库查询构建器为创建和运行数据库查询提供了方便,流畅的界面。它可用于在您的应用程序中执行大多数数据库操作,并可在所有受支持的数据库系统上工作。
Laravel查询构建器使用PDO参数绑定来保护您的应用程序免受SQL注入攻击。无需清除作为绑定传递的字符串。
请注意,如果您构建原始SQL语句并执行这些语句或使用原始表达式,则 不会
自动受到保护。来自文档的更多信息:
原始语句将作为字符串注入查询中,因此您应格外小心,不要创建SQL注入漏洞。
在构建原始SQL语句或表达式时,应始终使用参数化查询。有关如何在Laravel /
Eloquent中执行此操作的信息,请参见上面的最后一个链接(以及该文档的其他部分)。
