Как безопасно добавлять записи в mysql из laravel 5.4?

Question

[SvizzZzy]

Вопрос знатокам Laravel.

В частности интересует такой вариант:

public function store(Request $request)
    {
 Model::create($request->all()); 
    }

Ну т.е всё что есть в POST запросе - летит в базу, разве что проходит через protected $fillable по проверке нужных полей и всё.

Безопасно ли это в плане sql инъекций или лучше использовать другие варианты добавления данных в таблицы в базе ?
А то выглядит такой код подозрительно как то, без проверок, слишком просто что-ли :)

Comments

[Константин Б.]

Ну так перед тем как добавить валидируйте

[SvizzZzy]

Типа на всякий случай? Просто я заметил что он делает из " quote; и вот думаю, может он и так всё валидирует или нет...

[DeadMemories]

SvizzZzy: нет конечно.
Зачем ему это делать? Он просто пропускает все.
(Сарказм)

Answer 1

[JhaoDa]

Т.е. вы допускаете, что в документации показаны потенциально опасные способы? Мол, «а чо такова», да?

Краткий ответ: да, безопасно.

И я настоятельно советую для понимания внутренних механизмов работы с БД почитать про PDO, потому что ларавел, вот удивительно, использует именно его, да и вообще написан на РНР. А вы, судя по всему, этап изучения РНР пропустили...

Comments

[Евгений]

Только там $request валидируется...

[JhaoDa]

Евгений: где «там»?

[Дмитрий Евграфович]

Вообще-то сомнения без знаний внутреннего устройства механизма или личности написавшего этот механизм вполне оправданы. И да, в документации могут быть приведены опасные варианты (если ее писал некомпетентный человек, либо сам продукт недостаточно хорош)

[JhaoDa]

Дмитрий Евграфович: документация есть только одна — официальная, которую и надо читать. Всё остальное — на свой страх и риск. Мне кажется это очевидным.

[Дмитрий Евграфович]

JhaoDa: официальная документация не панацея, PDO в ней упоминается только для query builder, не для eloquent.

[Дмитрий Евграфович]

JhaoDa: Если считаете, что документация - это гарантия написания безопасного кода, скорее всего вы не встречались с уязвимыми плагинами для wordpress или других популярных систем, написанных вполне по документации, либо не видели неверно настроенных серверов, позволяющих скачивать php скрипты.

[JhaoDa]

Дмитрий Евграфович: я вообще очень рад, что мне не пришлось работать с «плагинами для wordpress или других популярных систем» и неверно настроенными серверами.
Мы тут, вроде бы, говорим про конкретный фрейм, конкретную доку и конкретного автора этой доки.

[Дмитрий Евграфович]

JhaoDa: да, мы говорим про конкретный фрейм, в конкретной доке которого конкретный автор не потрудился рассказать о том, как его orm создает запросы к бд, то, безопасны они или нет и как реализуется эта безопасность.

[JhaoDa]

Дмитрий Евграфович: как я сказал в ответе на вопрос: надо иметь базовые знания, а не сразу ларавел изучать. Для того, у кого есть таковые знания, упоминания PDO достаточно.

[vism]

Дмитрий Евграфович: глупости несете.
Если вам не очевидно как оно работает, открывайте учебник что-ли.

[Stalker_RED]

JhaoDa: Вы так говорите "упоминания PDO достаточно", будто нельзя сделать
$db->query($_POST['foo']); при помощи PDO.

[JhaoDa]

Stalker_RED: ну если есть знания о том, что PDO вообще существует, а не о том, как его юзать (именно это я и подразумевал под знанием PDO), то можно, но тогда при чем тут ларавел?

[Дмитрий Евграфович]

vism: конкретно мне неочевидно было до тех пор, пока исходники ларавела не посмотрел. Есть способ увидеть реализацию не глядя в исходники по записи в документации вида $model->id = 1? Или по имени автора, которое ни о чем не говорит? Или еще по неким признакам, которые не показывают код? Расскажите о них.

[Дмитрий Евграфович]

JhaoDa: а как мои знания о PDO влияют на использование PDO в коде, который писал другой человек, совершенно мне незнакомый? Я могу быть хоть десять раз гением, но как это влияет на код незнакомого мне человека? Вы не встречались с говнокодом в популярных проектах? отправляйте тогда уж сразу исходники читать.

[vism]

Дмитрий Евграфович: тогда сами пишите код или ковыряйте код до малейших методов и переменных. все просто