Laravel SQLでWhereをIF文で追加したり外したりしたい

IT関連

LaravelでSQL文を直で打ちたいときは、コントローラーの冒頭で

を宣言し、

 

こんな感じでSQL文を書く。

書籍を2つほど読んだがこんな感じだった。

 

 

例えばこんなときはどうだろう。

画面からリクエストでinputの値を受け取り、それをSQL文に噛ませている。

 

だがリクエストの値がブランクの場合は、条件に合致するわけがないので、WhereにあるDDDはそもそもSQL文に組み込みたくないというとき。

こんなの動くわけないのだが、一応やってみた。なぜならselect(“SQL文”)で一文だから。間にif文を噛ませると動かない。

 

クエリビルダやEloquentでは、->で組み立てていくとき、IF文を間に挟んで組まないようにすればいいのだが、どうしたものか。

 

別に難しく考える必要はなかった。

こうする。変数にSQL文を組み立てていき、最後にDB::select($SQL)とすればいい。

 

変なこと言ってるかもしれませんが、自分の備忘録なのでお許しを。他にいいやり方があれば教えてください。

あとこれをそのまま動かすと、見事にSQLインジェクションの餌食になります。

htmlspecialcharsなどでサニタイズは行ってください。

コメント

  1. test says:

    そのやり方はSQLインジェクションが考慮されておらず、値がサニタイズされない

    • kouji says:

      ご指摘ありがとうございます。
      他のページには書いていたのですがセキュリティ系は考慮して書いておりません。
      ゆえにhtmlspecialcharsなどは通常よくあるh()などで関数化したりするので、
      わざわざhtmlspecialchars($keyword,ENT_QUOTES)と書いても恥ずかしいだけかなと思いまして・・。
      それをLaravel側の機能ので出来るのならぜひ教えて頂きたい次第です。
      とにかくサニタイズのことは注意書きで追記しておきます。コメント感謝です。

タイトルとURLをコピーしました