以下のコードはSQLインジェクションから安全ですか?はOrderByRaw()で安全ですか?
if ($request->has('sort')) {
$s = $request->sort;
if ($request->has('asc')) {
$a = $request->asc;
} else {
$a = 'asc';
}
$query->orderByRaw("ISNULL({$s}), {$s} " . $a);
}
上記の変数をバッククォートで囲んでも問題ありません。 – daninthemix
必ずしもそうではありません。誰かが 'key \'のようなものを提出するとどうなりますか? DROP TABLE \ 'users \'; - '? –