Laravel 中直接执行原生 SQL 可行,但仅限单条语句+预处理绑定;DB::select() 仅用于 SELECT 并返回对象数组,DB::statement() 用于非查询语句并返回布尔值,二者均不支持命名占位符。
直接执行原生 SQL 在 Laravel 中完全可行,但必须明确:DB::select() / DB::insert() 等方法不支持参数绑定的存储过程调用、多语句(如 SELECT; INSERT;)、或依赖会话变量的复杂逻辑。安全边界在「单条语句 + 预处理绑定」。
DB::select() 和 DB::statement() 的核心区别
前者只用于 SELECT,返回数组;后者用于 INSERT/UPDATE/DELETE/DDL,返回布尔值(成功为 true)。
-
DB::select()自动将结果映射为stdClass对象数组,不支持FETCH_ASSOC模式切换 -
DB::statement()不返回数据集,哪怕你写SELECT 1也会报错 —— 它底层调用的是 PDO::exec(),不是 PDO::query() - 两者都支持
?占位符绑定,但**不支持命名占位符(如:name)**,除非你手动传入['name' => $value]并用DB::raw()拼接(不推荐)
带参数的原生查询必须用 ? 绑定,别拼字符串
手拼 SQL 是最常见导致 SQL 注入的源头,尤其在动态表名、字段名、ORDER BY 子句中。
DB::select('SELECT * FROM users WHERE status = ? AND created_at > ?', ['active', '2024-01-01']);- 数值、字符串、
null都可直接作为绑定值,Laravel 会自动处理类型转换 - 日期字符串建议用
Carbon::parse($date)->toDateTimeString()格式化后再传入,避免数据库时区差异 -
IN (?)这种写法无效 —— PDO 不支持数组绑定到单个?,得用DB::raw(implode(',', array_fill(0, count($ids), '?')))动态生成占位符
需要事务或获取最后插入 ID 怎么办
原生查询不自动参与 Eloquent 事务,必须显式用 DB::transaction() 包裹;DB::insert() 返回布尔值,要拿自增 ID 得改用 DB::getPdo()->lastInsertId()。
DB::transaction(function () {
DB::insert('INSERT INTO posts (title, content) VALUES (?, ?)', ['Hello', 'World']);
$id = DB::getPdo()->lastInsertId();
DB::update('UPDATE users SET post_count = post_count + 1 WHERE id = ?', [$id]);
});-
DB::getPdo()返回原始 PDO 实例,可用于调用beginTransaction()/commit(),但绕过 Laravel 的事务管理机制,容易遗漏回滚 - 如果只是想查某张表是否存在,别用
DB::select("SHOW TABLES LIKE 'users'")—— 这在 SQLite 下会报错,应改用 Schema::hasTable('users') - 执行
EXPLAIN或ANALYZE时,记得用DB::select(),因为它们返回结果集
真正麻烦的从来不是“怎么写”,而是“什么时候不该写”:比如用原生 SQL 做关联分页、或替代 whereHas(),往往让缓存、软删除、租户隔离等特性失效。能用 Query Builder 就别切原生,除非 explain 显示性能差一个数量级,且已确认是 ORM 层开销所致。
