在Laravel中执行原生SQL需通过DB门面，使用select、insert、update等方法结合参数绑定防止SQL注入；复杂查询、性能优化或数据库特有功能场景下原生SQL更适用，但应优先使用Eloquent以保证可维护性。

很多时候，我们在Laravel开发中享受着Eloquent ORM带来的便利和优雅，它让数据库操作变得直观而高效。然而，总有那么些场景，Eloquent的抽象层级可能无法满足我们对数据库操作的极致需求，比如复杂的报表查询、特定的数据库函数调用，或者仅仅是为了追求那一丝性能的优化。这时候，直接执行原生SQL语句就成了我们不可或缺的利器。Laravel并没有将我们锁死在ORM的框架里，它提供了非常灵活且安全的方式来直接与数据库底层交互，让我们可以在需要时，毫不犹豫地拿起原生SQL这把“瑞士军刀”。

解决方案： 在Laravel中执行原生SQL，主要通过DB门面（Facade）来完成。它提供了一系列方法，可以安全、有效地执行各种类型的SQL查询。

最常用的莫过于DB::select()方法，用于执行SELECT语句并获取结果。它会返回一个包含stdClass对象数组的结果集，每个对象代表一行数据。

use IlluminateSupportFacadesDB;  // 使用问号占位符进行参数绑定 $users = DB::select('SELECT * FROM users WHERE active = ?', [1]);  // 也可以使用命名绑定，这在处理大量参数时更为清晰和易读 $users = DB::select('SELECT * FROM users WHERE active = :active AND type = :type', ['active' => 1, 'type' => 'admin']);

如果你需要执行INSERT、UPDATE或DELETE语句，并且不需要返回任何结果（或者只关心受影响的行数），DB::insert()、DB::update()和DB::delete()方法就派上用场了。它们都返回受影响的行数。

// 插入数据，同样支持参数绑定 $result = DB::insert('INSERT INTO users (name, email, password) VALUES (?, ?, ?)', ['John Doe', 'john@example.com', bcrypt('password')]); // $result 会是 1 (如果插入成功)  // 更新数据 $affected = DB::update('UPDATE users SET votes = 100 WHERE name = ?', ['John']); // $affected 是受影响的行数  // 删除数据 $deleted = DB::delete('DELETE FROM users WHERE active = 0'); // $deleted 是被删除的行数

对于那些不返回任何结果的通用数据库语句，比如创建表、修改表结构、存储过程调用等，可以使用DB::statement()方法。

// 执行DDL语句 DB::statement('DROP TABLE IF EXISTS old_users'); DB::statement('CREATE TABLE new_users (id INT PRIMARY KEY, name VARCHAR(255))');

值得一提的是，如果你只是想在Eloquent查询中嵌入一个SQL片段，而不是执行完整的原生SQL查询，DB::raw()方法就非常有用。它将字符串标记为“原生表达式”，让数据库驱动程序在构建最终SQL时不对其进行转义。

// 在select子句中使用DB::raw()来计算字段 $users = DB::table('users')            ->select('name', DB::raw('count(*) as user_count'))            ->where('active', 1)            ->groupBy('name')            ->get();  // 甚至可以在where条件中使用whereRaw来嵌入原生SQL片段，并进行参数绑定 $users = DB::table('users')            ->whereRaw('age > ? AND votes < ?', [25, 100])            ->get();

什么时候应该考虑使用原生SQL而不是Eloquent ORM？

这大概是每个Laravel开发者都会遇到的一个抉择点。我的经验是，当你发现Eloquent的链式调用开始变得冗长、复杂，或者需要进行一些Eloquent本身不支持的数据库操作时，原生SQL的优势就凸显出来了。

具体来说，有这么几种情况，你会发现原生SQL更加得心应手：

• 复杂查询与报表生成： 比如需要执行多层嵌套子查询、复杂的JOIN逻辑、窗口函数（Window Functions，如ROW_NUMBER()）、或者聚合函数与特定条件结合，Eloquent虽然也能做到，但生成的SQL可能不够优化，或者代码可读性会下降。直接写原生SQL能让你对查询的每一个细节都了如指掌，更容易进行性能调优。
• 性能瓶颈优化： 有时候，Eloquent生成的SQL语句在面对大数据量时，可能不是最有效率的。通过原生SQL，你可以精确地控制索引的使用、查询计划，甚至利用数据库特定的优化技巧。当然，这需要你对数据库的底层工作原理有一定了解，以及对SQL优化有经验。
• 数据库特定功能： 某些数据库（如PostgreSQL、MySQL、SQL Server等）提供了很多特有的函数、数据类型或存储过程。Eloquent ORM通常只支持通用SQL标准，对于这些特定功能，原生SQL往往是唯一的选择。
• 遗留系统集成： 如果你的项目需要与一个已经存在的、结构复杂的数据库交互，而这个数据库的设计并不完全符合ORM的最佳实践，那么直接使用原生SQL来读取或写入数据，往往比尝试用Eloquent去“适配”它来得更实际，也更少痛苦。
• 调试与验证： 在调试复杂的Eloquent查询时，我们经常会用到DB::select()0和DB::select()1来查看生成的SQL。有时，直接在数据库客户端中运行这些原生SQL，或者直接编写简化版的原生SQL来验证某个逻辑，会比反复调整Eloquent查询更高效、更直观。

当然，选择原生SQL也意味着你失去了Eloquent提供的一些便利，比如自动类型转换、模型事件、关联关系管理等。所以，这始终是一个权衡的过程：在可维护性和灵活性之间找到最佳平衡点。我的建议是，优先使用Eloquent，只有当它确实无法满足需求时，才考虑原生SQL。

行者AI

行者AI绘图创作，唤醒新的灵感，创造更多可能

100

查看详情

如何安全地执行原生SQL并避免SQL注入？

安全性是执行原生SQL时必须摆在首位的问题，SQL注入攻击的危害不言而喻，轻则数据泄露，重则系统瘫痪。幸运的是，Laravel在设计DB门面时已经考虑到了这一点，为我们提供了非常可靠的防护机制。

核心原则是：永远不要直接将用户输入拼接到SQL查询字符串中。 相反，我们应该使用参数绑定（Parameter Binding）。

当你使用DB::select()、DB::insert()、DB::update()、DB::delete()这些方法时，它们都接受一个参数数组作为第二个参数。Laravel会在底层使用预处理语句（Prepared Statements）来处理这些参数。

// 错误示例：直接拼接用户输入，极易导致SQL注入 // $name = $_GET['name']; // 假设用户输入了 ' OR 1=1 -- // $users = DB::select("SELECT * FROM users WHERE name = '$name'"); // 最终SQL可能变成 SELECT * FROM users WHERE name = '' OR 1=1 --'，导致查询所有数据  // 正确示例：使用参数绑定 $name = $_GET['name'] ?? 'Guest'; // 假设这是来自用户的输入 $users = DB::select('SELECT * FROM users WHERE name = ?', [$name]); // 数据库会把 $name 当作一个完整的字符串值来处理，即使它包含恶意字符  // 或者使用命名绑定，可读性更好 $email = $_GET['email'] ?? 'guest@example.com'; $user = DB::select('SELECT * FROM users WHERE email = :email', ['email' => $email]);

参数绑定是如何工作的？

当数据库接收到一个带有参数绑定的查询时，它会先解析SQL语句的结构，然后再将绑定的值填充进去。这意味着，即使你的用户输入中包含恶意的SQL代码（比如DB::select()7），数据库也会将其视为一个普通字符串值，而不是SQL指令的一部分。这就像你给一个模板填空，模板结构是固定的，你填入的内容不会改变模板本身的意义。

关于DB::raw()：

DB::raw()方法本身不会进行参数绑定，因为它就是用来插入“原生”SQL片段的。这意味着，如果你在DB::raw()中使用了用户输入，你必须自己负责清理和转义。

 // 错误示例：