Есть ли уязвимости если я не буду обрабатывать строку?

Question

[ortsuev33]

У меня есть url параметр alias, раньше там был id , его я обрабатывал тупо приводя к числу , а как быть со строкой , я знаю что через конструктор запросов есть подготовленные запросы и волноваться о sql инъекциях не стоит. Нужно ли ещё предпринять или обработать как то параметр?

Answer 1

[Vitaliy Orlov]

При подготовленных параметрах не стоит. Только не используй параметр в Raw Expression, которые не будут подвергаться дополнительной обработке. Т.е. вот так не надо делать

$users = DB::table('users')
                     ->select( DB::raw($_GET['select_only_columns']) )
                     ->where('status', '<>', 1)
                     ->groupBy('status')
                     ->get();