Laravel

変数を入れてレコードを取り出したい!そんな動的なクエリではSQLインジェクション対策としてLaravelのORMを利用したエスケープによってお手軽に回避できます。

原則としてORMで書いていって、小難しいクエリは生のSQLで慎重に記述していくのが効率的かな~。毒も喰らう、栄養も喰らう。

 

 

postされたid番号を利用してユーザを取り出すクエリの例

 

危険な組み立て

クエリ上での変数による組み立ては危険

 

 

ベター ORMを利用する

Laravelはデフォルトでエスケープしてくれる

 

 

モアベター ORMの汎用メソッドを利用する

ORMで用意されている汎用のメソッドを利用すると記述がシンプルに簡単になります。

find関数はテーブルの主キーでレコードを検索してくれてスマート。

 

お疲れ様です。

タグ:
金広優
この記事を書いた人:金広優

システムガーディアン爆弾処理班。アクセス負荷対策やNginxへの移行案件が多いこの頃。IBM Cloud、AWSなどを扱ったクラウド、オフィスや商業施設のネットワーク構築案件が多くなっています。