Laravel Eloquent 中 whereRaw('age>?', [25]) 与 whereRaw("age>{$_GET['age']}") 的区别是什么？

感觉挺像sql注入的问题，我支持第一种。第二种我可以做一个 ?age = "(select id from admin_user where id = 1);update admin_user set deleted = 1 where id = 1;"

User::whereRaw('age > ?', [25])->get();

这样可以避免注入吧

应该使用第一种，防止 SQL 注入。
第一种使用了参数绑定，不论传入什么参数，都会被转换为字符串形式，避免了在解析 SQL 语句时运行前端恶意传过来的 JS、 SQL 等攻击脚本。

Laravel 在 ORM 查询中已经解决了这个问题，但是在使用 Raw() 原生方法时，需要注意使用参数绑定。

当然是第一种喽

$age = " 1 or 1 = 1";

User::whereRaw('age > ?', [$age])->get();
// sql = select * from `users` where age > '1 or 1 = 1';

User::whereRaw("age > {$age}")->get(); 
// sql = select * from `users` where age > 1 or 1 = 1;

老sql注入了

肯定第一种了，Raw() 第二个参数叫bindings 就知道是使用pdo的占位符了

我会反问面试官，为什么不用 User::where('age','>',$age)->get();，大不了就是回家等通知嘛 :smile:

whereRaw 我一般是用在那种必须使用原生 sql 的场景，比如根据不同条件修改不同的值