A pesar de que Laravel tiene su ORM y Query Builder en algunas ocasiones vamos a necesitar ejecutar consultas “a mano”, es decir, ejecutar una consulta raw o una query manual.
Una desventaja que traen las consultas raw (que reciben la consulta como cadena) es que son propensas a inyecciones SQL, pero con lo que te mostraré hoy podrás hacer consultas raw en Laravel evitando inyecciones SQL.
Sintaxis de DB::select
Voy a mostrarte cómo hacer un select; no un insert, update o delete. Normalmente las consultas más complejas son con select. En fin, la sintaxis es:
DB::select("consulta", ["parámetro", "parámetro2"])
Como ves el primer argumento es la consulta como string. Es importante que no concatenes ningún valor aquí.
El segundo argumento es un arreglo de los valores que se pasarán a la base de datos al momento de ejecutar la query, y que remplazarán a los placeholders de la consulta.
En resumen es como hacer un select con PDO en PHP y especificar los parámetros en lugar de concatenar en una string.
Ejemplo para consulta manual con Laravel
Veamos un ejemplo sencillo; consultar de la tabla alumnos donde el nombre sea “Luis” quedaría así:
En este caso en lugar de pasar el valor, ponemos un signo de interrogación ?. Después, en el arreglo (que puede ser definido con [] o con array()) pasamos los parámetros en el mismo orden.
Con dos parámetros
Si queda alguna duda de cómo pasar los parámetros de manera posicional, otra consulta quedaría así:
Con esto quiero dar a entender que debemos pasar los parámetros dentro del arreglo en el mismo orden que aparecen los signos de interrogación en la consulta.
Ejemplo final
Bien, las consultas de arriba pudieron hacerse con el Query Builder de manera más expresiva. Lo que pasa es que yo necesitaba hacer una consulta un poco más compleja que se ve así:
Seguramente existe un modo de hacerlo con los métodos que Laravel proporciona, pero estoy feliz de que pueda usar las consultas manuales, crudas o raw sin dejar de usar el framework.
Conclusión
Siempre deberías buscar la manera de usar el query builder y, solo en casos específicos, usar las consultas personalizadas.
No olvides limpiar o sanear tus datos antes de ingresarlos a la base de datos; el método que expliqué funciona perfectamente para evitar inyecciones SQL.
Dejo algunos enlaces para aprender más sobre:
0 Comentarios