Безопастно ли использовать в laravel DB::select?

Question

[Глеб]

Подскажите кто имел опыт в laravel 8 c DB::select(); безопастно ли использовать такую строчку для получение данных? DB::select("SELECT * FROM `games` WHERE `games`.`user_id` = $user->id ORDER BY `id` DESC LIMIT 10");

Answer 1

[DevMan]

безопасно.
люди, использующие фреймворки тупо для синтаксиса, а не используя их средства (query builder или модели? не, не слышал) – вообще бессмертные.
правда, недолго.

Comments

[Глеб]

Т.е моделями лучше не пользоваться?)

[DevMan]

Глеб,

моделями лучше не пользоваться?)

вот с чего такой вывод?
мне реально интересны причины альтернативной логики.

[Глеб]

DevMan, Не я просто пподумал ты плохо говоришь о моделях, значит тебя не правильно понял, а так я всегда моделями пользуюсь

[DevMan]

Глеб,

так я всегда моделями пользуюсь...
DB::select("SELECT * FROM `games` WHERE `games`.`user_id` = $user->id ORDER BY `id` DESC LIMIT 10");

оно заметно.

[DevMan]

Глеб, еще раз: если уж нужна кастомная квери, почему не query builder?
или зачем вот это все вместо прямого запроса в базу?

[Глеб]

DevMan, Это исключение, у меня при модели выходит ошибка, а так у меня все в моделях кроме этого одного

[DevMan]

Глеб, для тех кто в бронетанке: query builder.

[Глеб]

DevMan, Как по не моделями привычнее

[DevMan]

Глеб,по моделям мне привычней.
но они не работают.
поэтому я напишу дичь.
а query builder вообще пошлю нахер.

ну молодец, чо. дерзай так дальше, не плоди энтропию.

[DevMan]

Глеб, для тех кто не просто в бронетанке, а в бронетанке на бронепоезде: как связаны моделями привычнее и DB::select...?

[Глеб]

DevMan, Я уже писал что у меня при использовании модели в выводе games ошибка not found controller поэтому нашёл замену DB::select

[DevMan]

Глеб, я уже писал: вместо ерунды пользуйте query builder.
но в ответ, с какого–то перепуга услышал про модели и прочую дичь.

тебе вопрос решить или тупо поболтать?
если первое, я давно ответил.
если второе, это не ко мне.

[Глеб]

DevMan, Почему ты так за query builder? Распиши его +, чем хуже те же модели?

[DevMan]

Глеб, легко. когда увижу в вопросе модель, а не сырой запрос.
ты реально такой тугой, что не видишь разницы?

[DevMan]

Глеб, в твоём вопросе есть модель?
если есть, давай, до свидания.
если нет, схренали ты вообще о моделях заговорил?

[Глеб]

DevMan, В данном вопросе нету модели. Но просто то ты говоришь с чего такой вывод не пользоваться моделями? Потом ты опять перебуваешься и говоришь использовать лучше query builder

[DevMan]

Глеб, еще раз: я не говорил "НЕ ПОЛЬЗОВАТЬСЯ МОДЕЛЯМИ".
я говорил не пользоваться сырыми запросами, а вместо них или пользоваться "МОДЕЛЯМИ", или "QUERY BUILDER'OM".

не нужно за меня придумывать и со мной же спорить.

[Глеб]

DevMan, Все ладно закончим. Я всегда использую модели, просто этот запрос исключение из-за ошибки с моделью уже не один раз писал.

[DevMan]

Глеб, и я ответил: "query builder".
хотя бы потому что он проэскейпит где надо.

но тебе захотелось поспорить.

[Глеб]

DevMan, Блин а ведь DB::table рили круче :) Спасибо за способ он удобнее

[DevMan]

Глеб, алилуя!))

[Константин Б.]

Вааааааа. Ты вместо того чтобы отдебажить почему не сработали связи, развёл всю эту волокиту с запросами?
красавчик

[Dmitry Bay]

Константин Б., Там еще круче, там контроллер не нашелся. Я думаю вообще может и не в модели дело.

[Глеб]

Константин Б., Нет, мне просто интересно были другие способы.

Answer 2

[Dmitry Bay]

Скорее всего, это будет безопасно. $user - то вы собираете выборкой?
Технически, это должно работать, кроме следующих случаев, если $user не определен.

Примеры
- Вы запрашиваете игры другого пользователя, ид которого не существует.
- Вы пытаетесь запросить свои игры, но при этом не имеете авторизацию в системе.

В любом случае, я бы рекомендовал использовать bind.

Comments

[Глеб]

Это для админ панели во владке редактирования пользователя я получаю его игры, я уже все проверил и всё работает, но мне нужно знать будет ли это безопастно.

[Dmitry Bay]

Глеб, Конкретно у вас - безопасно.
Но писать такое - я не рекомендую.

[Глеб]

Dmitry Bay, Почему не рекомендуете?

[Dmitry Bay]

Глеб, потому что в том же селекте у вас есть bind. Почему не использовать чуть более красивую реализацию, Которая защитит вас от ошибок в будущем? Да даже чистые модели использовать намного проще.
Или даже query builder использовать чтобы пересобрать ваш запрос. Я даже не говорю про связи.

[Глеб]

Dmitry Bay, Я хотел использовать через модель уже даже всё сделал, но выходит ошибка not found. Типу не находит контроллер Model, выглядило типу того $user_games = Games::where('user_id', $user->id)->get();

[DevMan]

Dmitry Bay, a еще id в объекте laravel может вообще содержать строку.

[Dmitry Bay]

DevMan,
пользователь с ид или именем "; drop table user;" ?)