Безопасен ли Eloquent?

Question

[WebDev]

Всем привет, интересует на сколько безопасен Eloquest ORM в Laravel? То есть есть ли необходимость как-то фильтровать данные перед вставкой? Если да, то почему и как, и было бы супер пример инъекции в "голую" Eloquent.
UPD: Всегда очень интересовали такие мысли во всяких уроках и статьях: "Понятно, что полностью от инъекций нас это не спасет, но от большинства защитит.". И никогда никто не приводит пример такой хитрой инъекции. Создается впечатление, что авторы сами не в курсе.

Answer 1

[Andrzej Wielski]

Если вы сделаете так:
->whereRaw("`name` = '{$request->foo}'");
Конечно же, защита сойдет на нет.
Но если использовать только ORM конструкции, и не передавать Raw запросами публично получаемые данные - Eloquent полностью безопасен.

Да и на мой взгляд даже задумываться не надо об использовании Laravel, игнорируя все его прелести.
Если не используете MVC структуру ларавела, не используете модели с ORM, валидацию, Request, middleware, фильтры, провайдеры - сидите на голом PHP, зачем вам ларавел?

Answer 2

[Nick Murzin]

Безопасен

Answer 3

[Web Developer Blog]

Совершенно безопасен