Как безопасно добавлять записи в mysql из laravel 5.4?

Question

SvizzZzy @SvizzZzy

Laravel

Как безопасно добавлять записи в mysql из laravel 5.4?

Вопрос знатокам Laravel.

В частности интересует такой вариант:

public function store(Request $request)
    {
 Model::create($request->all()); 
    }

Ну т.е всё что есть в POST запросе - летит в базу, разве что проходит через protected $fillable по проверке нужных полей и всё.

Безопасно ли это в плане sql инъекций или лучше использовать другие варианты добавления данных в таблицы в базе ?
А то выглядит такой код подозрительно как то, без проверок, слишком просто что-ли :)

Вопрос задан более трёх лет назад
657 просмотров

3 комментария

Подписаться 4 Оценить 3 комментария

Решения вопроса 1

15 комментариев

Евгений @Nc_Soft

Только там $request валидируется...

Написано более трёх лет назад
JhaoDa @JhaoDa

Евгений: где «там»?

Написано более трёх лет назад
Дмитрий Евграфович @Tantacula

Вообще-то сомнения без знаний внутреннего устройства механизма или личности написавшего этот механизм вполне оправданы. И да, в документации могут быть приведены опасные варианты (если ее писал некомпетентный человек, либо сам продукт недостаточно хорош)

Написано более трёх лет назад
JhaoDa @JhaoDa

Дмитрий Евграфович: документация есть только одна — официальная, которую и надо читать. Всё остальное — на свой страх и риск. Мне кажется это очевидным.

Написано более трёх лет назад
Дмитрий Евграфович @Tantacula

JhaoDa: официальная документация не панацея, PDO в ней упоминается только для query builder, не для eloquent.

Написано более трёх лет назад
Дмитрий Евграфович @Tantacula

JhaoDa: Если считаете, что документация - это гарантия написания безопасного кода, скорее всего вы не встречались с уязвимыми плагинами для wordpress или других популярных систем, написанных вполне по документации, либо не видели неверно настроенных серверов, позволяющих скачивать php скрипты.

Написано более трёх лет назад
JhaoDa @JhaoDa

Дмитрий Евграфович: я вообще очень рад, что мне не пришлось работать с «плагинами для wordpress или других популярных систем» и неверно настроенными серверами.
Мы тут, вроде бы, говорим про конкретный фрейм, конкретную доку и конкретного автора этой доки.

Написано более трёх лет назад
Дмитрий Евграфович @Tantacula

JhaoDa: да, мы говорим про конкретный фрейм, в конкретной доке которого конкретный автор не потрудился рассказать о том, как его orm создает запросы к бд, то, безопасны они или нет и как реализуется эта безопасность.

Написано более трёх лет назад
JhaoDa @JhaoDa

Дмитрий Евграфович: как я сказал в ответе на вопрос: надо иметь базовые знания, а не сразу ларавел изучать. Для того, у кого есть таковые знания, упоминания PDO достаточно.

Написано более трёх лет назад
vism @vism

Дмитрий Евграфович: глупости несете.
Если вам не очевидно как оно работает, открывайте учебник что-ли.

Написано более трёх лет назад
Stalker_RED @Stalker_RED

JhaoDa: Вы так говорите "упоминания PDO достаточно", будто нельзя сделать
$db->query($_POST['foo']); при помощи PDO.

Написано более трёх лет назад
JhaoDa @JhaoDa

Stalker_RED: ну если есть знания о том, что PDO вообще существует, а не о том, как его юзать (именно это я и подразумевал под знанием PDO), то можно, но тогда при чем тут ларавел?

Написано более трёх лет назад
Дмитрий Евграфович @Tantacula

vism: конкретно мне неочевидно было до тех пор, пока исходники ларавела не посмотрел. Есть способ увидеть реализацию не глядя в исходники по записи в документации вида $model->id = 1? Или по имени автора, которое ни о чем не говорит? Или еще по неким признакам, которые не показывают код? Расскажите о них.

Написано более трёх лет назад
Дмитрий Евграфович @Tantacula

JhaoDa: а как мои знания о PDO влияют на использование PDO в коде, который писал другой человек, совершенно мне незнакомый? Я могу быть хоть десять раз гением, но как это влияет на код незнакомого мне человека? Вы не встречались с говнокодом в популярных проектах? отправляйте тогда уж сразу исходники читать.

Написано более трёх лет назад
vism @vism

Дмитрий Евграфович: тогда сами пишите код или ковыряйте код до малейших методов и переменных. все просто

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Laravel

+2 ещё

Средний
Не удается подключиться к ClickHouse container?
- 1 подписчик
- 15 часов назад
- 39 просмотров
1

ответ
Laravel

Простой
Как в модели Belongsto обратиться по нескольким полям?
- 1 подписчик
- 22 часа назад
- 53 просмотра
1

ответ
Laravel

Простой
Как локально работать stevebauman/location для определения геопозиции в Laravel?
- 1 подписчик
- вчера
- 24 просмотра
0

ответов
HTML

+2 ещё

Простой
Как подкрасить 2 блока в разные цвета по всей ширине в дочернем Blade-шаблоне?
- 1 подписчик
- вчера
- 58 просмотров
2

ответа
PHP

+1 ещё

Простой
Переписать грамотнее и с помощью Laravel реально ли и каким лучше образом?
- 1 подписчик
- 13 апр.
- 189 просмотров
3

ответа
Laravel

Простой
Как остановить wire:poll?
- 1 подписчик
- 12 апр.
- 59 просмотров
0

ответов
Laravel

+2 ещё

Простой
Как побороть проблему CORS в Laravel?
- 1 подписчик
- 10 апр.
- 136 просмотров
0

ответов
Laravel

Простой
В Laravel очереди работают не последовательно в Bus::chain?
- 2 подписчика
- 10 апр.
- 147 просмотров
1

ответ
Laravel

Простой
Никак не могу прописать маршрут на laravel 11.x?
- 1 подписчик
- 10 апр.
- 82 просмотра
1

ответ
Laravel

Простой
Почему на сайте laravel с протоколом https не отображаются картинки?
- 1 подписчик
- 09 апр.
- 98 просмотров
1

ответ
Показать ещё Загружается…

Бэкенд-разработчик на Laravel (Middle Level)

StreamHunt.tv

от 150 000 до 250 000 ₽

PHP Developer / Laravel

АэроТур • Санкт-Петербург

от 170 000 до 190 000 ₽

PHP / Laravel разработчик

DIGITAL SECTOR • Краснодар

от 100 000 до 150 000 ₽

Тестовое приложение для коннекта по SIP

20 апр. 2024, в 09:15

8000 руб./за проект

Сканер коэффициентов в букмекерских конторах

20 апр. 2024, в 08:39

100000 руб./за проект

Доработать бота

20 апр. 2024, в 08:24

1500 руб./за проект

Ну так перед тем как добавить валидируйте
Типа на всякий случай? Просто я заметил что он делает из " quote; и вот думаю, может он и так всё валидирует или нет...
SvizzZzy: нет конечно.
Зачем ему это делать? Он просто пропускает все.
(Сарказм)

Answer 1 · 2017-04-22 14:16:34

Т.е. вы допускаете, что в документации показаны потенциально опасные способы? Мол, «а чо такова», да?

Краткий ответ: да, безопасно.

И я настоятельно советую для понимания внутренних механизмов работы с БД почитать про PDO, потому что ларавел, вот удивительно, использует именно его, да и вообще написан на РНР. А вы, судя по всему, этап изучения РНР пропустили...

Как безопасно добавлять записи в mysql из laravel 5.4?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт