如何在Laravel中使用原生SQL查询

在laravel中执行原生sql查询主要通过db facade的select、insert、update、delete和statement方法实现。1. 查询使用db::select()，支持问号或命名占位符绑定参数以防止sql注入；2. 插入使用db::insert()，返回布尔值表示操作是否成功；3. 更新使用db::update()，返回受影响行数；4. 删除使用db::delete()，同样返回受影响行数；5. 通用语句如建表或调用存储过程可使用db::statement()。适用于性能瓶颈、数据库特有功能、遗留系统集成、复杂join或聚合等场景。安全方面必须使用参数绑定而非直接拼接sql字符串，并限制数据库用户权限。事务处理可通过db::transaction()自动管理，或手动调用begintransaction、commit、rollback控制。结果映射默认返回stdclass对象数组，也可转换为关联数组或映射到dto对象。

在Laravel中执行原生SQL查询，主要通过DB facade提供的select、insert、update、delete以及statement等方法。这通常是当你面对一些复杂到ORM或查询构建器难以优雅表达的查询，或者需要直接与数据库特定功能（如存储过程、特定函数）交互时，一个非常直接且高效的选择。它让你能完全掌控SQL语句，但同时也意味着你需要承担更多的安全和维护责任。

解决方案

Laravel的DB facade是处理原生SQL的核心。

查询数据 (SELECT)

使用DB::select()方法来执行SELECT查询。它会返回一个stdClass对象的数组，每个对象代表一行结果。请务必使用参数绑定来防止SQL注入。

use Illuminate\Support\Facades\DB;

// 使用问号占位符进行参数绑定
$users = DB::select('SELECT * FROM users WHERE active = ? AND votes > ?', [1, 100]);

// 也可以使用命名占位符，可读性更好
$results = DB::select('SELECT * FROM users WHERE id = :id', ['id' => 1]);

// 遍历结果
foreach ($users as $user) {
    echo $user->name;
}

插入数据 (INSERT)

使用DB::insert()方法。它返回一个布尔值，表示操作是否成功。

use Illuminate\Support\Facades\DB;

DB::insert('INSERT INTO users (id, name, email) VALUES (?, ?, ?)', [1, 'John Doe', 'john@example.com']);

更新数据 (UPDATE)

使用DB::update()方法。它返回受影响的行数。

use Illuminate\Support\Facades\DB;

$affected = DB::update('UPDATE users SET votes = 200 WHERE name = ?', ['John Doe']);
echo $affected; // 输出受影响的行数

删除数据 (DELETE)

使用DB::delete()方法。它返回受影响的行数。

use Illuminate\Support\Facades\DB;

$affected = DB::delete('DELETE FROM users WHERE active = 0');
echo $affected; // 输出受影响的行数

执行通用语句 (STATEMENT)

对于不返回结果的通用SQL语句，比如创建表、修改表结构、调用存储过程（不返回结果集）等，可以使用DB::statement()。

use Illuminate\Support\Facades\DB;

DB::statement('DROP TABLE users'); // 危险操作，仅作示例
DB::statement('CREATE TABLE sessions (id VARCHAR(255) PRIMARY KEY, payload TEXT, last_activity INT)');

为什么以及何时应该在Laravel中使用原生SQL查询？

在我看来，选择原生SQL往往不是首选，但它确实是某些场景下的“瑞士军刀”。你可能会发现自己需要它，当：

• 性能瓶颈出现时： 有时候，Eloquent或查询构建器生成的SQL可能不够高效，尤其是在处理非常复杂的多表连接、子查询或聚合时。直接编写优化过的原生SQL，可以精确控制查询计划，从而显著提升性能。我曾遇到过一个复杂的报表生成，用Eloquent写起来不仅代码冗长，执行时间也长得离谱，改用原生SQL后，查询速度提升了十倍不止。
• 处理数据库特有功能： 某些数据库（如PostgreSQL的JSONB操作符，MySQL的地理空间函数，或特定的存储过程、触发器）提供了标准SQL之外的强大功能。Eloquent和查询构建器通常无法直接支持这些，这时原生SQL就是唯一途径。
• 集成遗留系统或复杂视图： 如果你的项目需要与一个已有的大型数据库（可能包含大量视图、存储过程或非标准表结构）交互，原生SQL能提供最大的灵活性来适配这些现有结构，而无需强行用ORM模型去匹配。
• 极度复杂的JOIN或聚合： 某些业务逻辑要求非常复杂的JOIN条件、嵌套子查询或高级聚合函数（如窗口函数），用Laravel的查询构建器写起来可能会非常笨拙，甚至无法实现。原生SQL能让你自由地构建这些复杂的查询。
• 调试或验证SQL： 在调试复杂的Eloquent查询时，有时我也会先用toSql()看看它生成的SQL，然后直接在数据库客户端里用原生SQL进行测试和优化，确认无误后再考虑如何集成回Laravel。

当然，使用原生SQL的代价是牺牲了部分Laravel带来的抽象和便利性，比如模型关联、自动时间戳等。每次使用前，我都会权衡：这点复杂性是否真的值得我放弃ORM的便利和安全性保障？

在Laravel中执行原生SQL查询时有哪些安全注意事项？

这是使用原生SQL时最关键的一点，也是我个人最强调的部分。一旦你决定跳过ORM的“保护伞”，SQL注入的风险就会陡增。

最常见的错误就是直接将用户输入或变量拼接到SQL字符串中。例如：

// 极度危险，切勿模仿！
$name = $_GET['name']; // 假设这是用户输入
$users = DB::select("SELECT * FROM users WHERE name = '" . $name . "'");

如果$name的值是' OR '1'='1，那么最终的SQL会变成SELECT * FROM users WHERE name = '' OR '1'='1'，这会绕过所有条件，返回所有用户数据，造成严重的安全漏洞。

正确的做法是始终使用参数绑定。 Laravel的DB facade会自动处理参数绑定，它会确保你的输入被正确地转义，从而有效防止SQL注入。前面解决方案中展示的所有例子都采用了参数绑定。

• 问号占位符 (?)： 适用于位置敏感的参数。传入一个数组，数组元素的顺序必须与SQL中问号的顺序一致。
• 命名占位符 (:name)： 适用于更清晰的参数映射。传入一个关联数组，键名与SQL中的命名占位符一致。

参数绑定是数据库驱动层面的安全机制，它将SQL语句的结构和数据分离。数据库在执行前会先解析SQL语句的结构，然后将数据作为独立的参数填充进去，这样即使数据中包含SQL关键字，也不会被误认为是SQL指令的一部分。

此外，虽然与原生SQL查询本身不完全相关，但数据库用户权限管理也是一个重要的安全考量。为你的Laravel应用配置的数据库用户，应该只拥有其业务逻辑所需的最小权限。例如，如果某个服务只需要读取数据，就不要赋予它写入或删除数据的权限。这是一种纵深防御的策略，即使应用层出现漏洞，也能限制潜在的损害范围。

如何在Laravel的原生SQL查询中处理事务和结果映射？

处理事务和对查询结果进行有效映射，是使用原生SQL时提升代码健壮性和可用性的关键。

事务处理

事务确保一系列数据库操作要么全部成功，要么全部失败，保持数据的一致性。Laravel的DB facade提供了非常简洁的事务管理方式。

最推荐的方式是使用DB::transaction()方法，它会自动处理事务的开始、提交和回滚：

use Illuminate\Support\Facades\DB;

try {
    DB::transaction(function () {
        DB::insert('INSERT INTO orders (user_id, total) VALUES (?, ?)', [1, 100.00]);
        DB::update('UPDATE products SET stock = stock - 1 WHERE id = ?', [5]);

        // 模拟一个可能出错的操作
        // if (something_went_wrong) {
        //     throw new \Exception('Oops, something went wrong!');
        // }
    });

    echo "Transaction committed successfully!";
} catch (\Exception $e) {
    // 如果闭包内抛出任何异常，事务都会自动回滚
    echo "Transaction failed: " . $e->getMessage();
}

如果你需要更细粒度的控制，也可以手动管理事务：

use Illuminate\Support\Facades\DB;

DB::beginTransaction(); // 开始事务

try {
    DB::insert('INSERT INTO logs (message) VALUES (?)', ['Operation started']);
    // ... 其他原生SQL操作 ...
    DB::update('UPDATE settings SET value = ? WHERE key = ?', ['new_value', 'some_setting']);

    DB::commit(); // 提交事务
    echo "Manual transaction committed.";
} catch (\Exception $e) {
    DB::rollBack(); // 回滚事务
    echo "Manual transaction rolled back: " . $e->getMessage();
}

结果映射

DB::select()方法返回的结果是一个stdClass对象的数组。这意味着你可以像访问对象属性一样访问每一列的数据：

use Illuminate\Support\Facades\DB;

$users = DB::select('SELECT id, name, email FROM users WHERE active = 1');

foreach ($users as $user) {
    echo "ID: " . $user->id . ", Name: " . $user->name . ", Email: " . $user->email . "\n";
}

如果你更习惯使用关联数组，或者需要将结果转换为特定的数据结构，可以进行手动转换：

use Illuminate\Support\Facades\DB;

$users = DB::select('SELECT id, name, email FROM users WHERE active = 1');

$userArray = array_map(function ($user) {
    return (array) $user; // 将stdClass对象转换为关联数组
}, $users);

// 或者，如果你想映射到特定的DTO或值对象：
class UserDTO {
    public $id;
    public $name;
    public $email;

    public function __construct($id, $name, $email) {
        $this->id = $id;
        $this->name = $name;
        $this->email = $email;
    }
}

$userDTOs = array_map(function ($user) {
    return new UserDTO($user->id, $user->name, $user->email);
}, $users);

foreach ($userDTOs as $dto) {
    echo "DTO Name: " . $dto->name . "\n";
}

虽然DB::select()返回的是stdClass，但在很多情况下这已经足够方便。只有当你需要更严格的类型检查、方法封装或者与其他系统集成时，才需要考虑额外的映射层。对我来说，直接使用stdClass通常是最快的路径，除非业务逻辑对数据结构有强烈的要求。