代码之家  ›  专栏  ›  技术社区  ›  Константин Ковалев

Laravel eloquent selectRaw for SQL注入

sql-injection laravel-5.2 select php
  •  0
  • Константин Ковалев  · 技术社区  · 7 年前

    我有疑问: 

    $typeCancel = 'cancel'; $typeRefund = 'refund';
$query = Order::select(DB:raw('order.*,'
    "IF (order.type IN (?, ?), (order.amount * -1), order.amount) AS custom_amount"))
->where('provider', 1)
->setBindings([$typeCancel, $typeRefund], 'select')
->get();

    这很有效。 我该如何做: 

    ... IF (order.type IN (?) ...
... ->setBindings([$types], 'select')

    我尝试以下方法: 

    $types = "'{$typeCancel}','{$typeRefund}'";
... IF (order.type IN (?) ...
... ->setBindings([$types], 'select')

    但它不正确,结果查询如下所示: 

    ... IF (order.type IN ("'cancel','refund'") ...
    1 回复  |  直到 7 年前
        1
  •  0
  •   adkstar    7 年前

    你可以做到 $types = array($typeCancel, $typeRefund); 然后你可以通过 $types 到您的绑定

    推荐文章
    Jacco  ·  未能格式化我的日期以在php中正确工作
    1 年前
    darshita_baldha  ·  如何在Laravel组件中传递数组变量?
    1 年前
    nitroflox  ·  在php中删除带有安全和httponly选项的cookie值得吗?
    1 年前
    Community wiki  ·  在OOP中,依赖项是否应该包含对其父项的引用?
    1 年前
    Arno van Oordt  ·  存储在MonogoDB中时将类实例转换为字符串
    1 年前
    Jaime Montoya  ·  访问器魔术方法在PHP 8中不起作用[重复]
    1 年前
    jay ram  ·  如何在URL核心php中从API获取JSON?
    1 年前
    Endricho Folabessy  ·  我在Laravel 10中的一对一关系有什么错误
    1 年前
    pernifloss  ·  如何在使用电子邮件时保持Outlook邮件未读trhough pop3
    1 年前
    Ishwarya A  ·  php电子表格在浏览器中显示多张excel
    1 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号