A pesar de que Laravel tiene su ORM y Query Builder en algunas ocasiones vamos a necesitar ejecutar consultas “a mano”, es decir, ejecutar una consulta raw o una query manual.

Una desventaja que traen las consultas raw (que reciben la consulta como cadena) es que son propensas a inyecciones SQL, pero con lo que te mostraré hoy podrás hacer consultas raw en Laravel evitando inyecciones SQL.

Sintaxis de DB::select

Voy a mostrarte cómo hacer un select; no un insert, update o delete. Normalmente las consultas más complejas son con select. En fin, la sintaxis es:

DB::select("consulta", ["parámetro", "parámetro2"])

Como ves el primer argumento es la consulta como string. Es importante que no concatenes ningún valor aquí.

El segundo argumento es un arreglo de los valores que se pasarán a la base de datos al momento de ejecutar la query, y que remplazarán a los placeholders de la consulta.

En resumen es como hacer un select con PDO en PHP y especificar los parámetros en lugar de concatenar en una string.

Ejemplo para consulta manual con Laravel

Veamos un ejemplo sencillo; consultar de la tabla alumnos donde el nombre sea “Luis” quedaría así:

En este caso en lugar de pasar el valor, ponemos un signo de interrogación ?. Después, en el arreglo (que puede ser definido con [] o con array()) pasamos los parámetros en el mismo orden.

Con dos parámetros

Si queda alguna duda de cómo pasar los parámetros de manera posicional, otra consulta quedaría así:

Relacionado:  Eliminar clave foránea en migración de Laravel

Con esto quiero dar a entender que debemos pasar los parámetros dentro del arreglo en el mismo orden que aparecen los signos de interrogación en la consulta.

Ejemplo final

Bien, las consultas de arriba pudieron hacerse con el Query Builder de manera más expresiva. Lo que pasa es que yo necesitaba hacer una consulta un poco más compleja que se ve así:

Seguramente existe un modo de hacerlo con los métodos que Laravel proporciona, pero estoy feliz de que pueda usar las consultas manuales, crudas o raw sin dejar de usar el framework.

Conclusión

Siempre deberías buscar la manera de usar el query builder y, solo en casos específicos, usar las consultas personalizadas.

No olvides limpiar o sanear tus datos antes de ingresarlos a la base de datos; el método que expliqué funciona perfectamente para evitar inyecciones SQL.

Dejo algunos enlaces para aprender más sobre:

Si el post fue de tu agrado muestra tu apoyo compartiéndolo, suscribiéndote al blog, siguiéndome o realizando una donación.

Suscribir por correo

Ingresa tu correo y recibirás mis últimas entradas sobre programación, open source, bases de datos y todo lo relacionado con informática

Únete a otros 390 suscriptores


parzibyte

Programador freelancer listo para trabajar contigo. Aplicaciones web, móviles y de escritorio. PHP, Java, Go, Python, JavaScript, Kotlin y más :) https://parzibyte.me/blog/software-creado-por-parzibyte/

0 Comments

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

A %d blogueros les gusta esto: