Laravel 中动态字段名的安全处理：防止 SQL 注入的正确实践

即使未使用 `selectraw`，直接拼接用户输入到列名（如 `”product_varient_$var”`）仍会导致 sql 注入风险；本文详解如何通过白名单校验、请求验证与运行时检查安全实现动态字段查询。

在 Laravel 应用中，当需要根据用户输入动态选择数据库字段（例如电商场景下的 product_varient_1、product_varient_2 等变体字段），开发者常误以为“没用 selectRaw 就绝对安全”。但事实是：SQL 注入不仅发生在值上下文，也严重威胁标识符（如表名、列名）上下文。上述代码：

$var = 1;$sample = DB::table(‘products’)->select("product_varient_$var")->distinct()->get();

表面看似无害，但若 $var 来自未经校验的用户输入（如 request(‘variant_id’)），攻击者可传入 1; DROP TABLE products– 或更隐蔽的 1%0AUNION%20SELECT%20password%20FROM%20users– —— 虽然此处为列名拼接，不触发传统值注入，但若 $var 被恶意构造为 1, product_varient_2, (SELECT @@version)，则可能引发语法错误或信息泄露；更危险的是，若后续逻辑将 $var 用于 ORDER BY、GROUP BY 或 WHERE 子句中的标识符位置，将直接导致高危注入。

✅ 根本防御原则：列名必须来自预定义白名单，绝不信任任何外部输入

✅ 推荐做法一：使用 Laravel 请求验证（推荐于控制器层）

// 在控制器方法中public function getVariants(Request $request){ $request->validate([ ‘variant_id’ => ‘required|integer|in:1,2,3’, ]); $var = $request->integer(‘variant_id’); $column = "product_varient_$var"; $variants = DB::table(‘products’) ->select($column) ->distinct() ->get(); return response()->json($variants);}

in:1,2,3 规则强制输入值仅限合法变体编号，Laravel 验证器会在进入业务逻辑前拦截非法值，语义清晰且可复用。

✅ 推荐做法二：运行时白名单断言（适用于服务层或动态场景）

$var = $request->input(‘variant_id’, 1);// 严格白名单检查（建议用常量或配置管理）$allowedVariants = [1, 2, 3];if (!in_array($var, $allowedVariants, true)) { throw new InvalidArgumentException(‘Invalid variant ID. Allowed: ‘ . implode(‘,’, $allowedVariants));}$column = "product_varient_$var";$variants = DB::table(‘products’) ->select($column) ->distinct() ->get();

⚠️ 注意：in_array() 必须启用严格模式（第三个参数 true），避免 ‘1’ == 1 类型松散比较带来的绕过风险。

⚠️ 绝对禁止的做法（反面示例）

// ❌ 危险！未校验 + 字符串拼接列名$var = $request->input(‘variant_id’);$sample = DB::table(‘products’)->select("product_varient_$var")->get();// ❌ 更危险！尝试“过滤”但不可靠$var = preg_replace(‘/[^1-3]/’, ”, $request->input(‘variant_id’)); // 可被 ’13’ 绕过

? 进阶建议：解耦结构，规避动态列名

长期来看，将变体存储在独立关联表中（如 product_variants）是更健壮的设计：

// 更规范的数据模型// products → hasMany → product_variants (id, product_id, name, sku, price, …)

这样即可用标准 Eloquent 查询（Product::with(‘variants’)），彻底消除列名拼接需求，同时支持无限变体、灵活筛选与索引优化。

总结：Laravel 的查询构建器不会自动转义列名，所有动态标识符都需显式白名单控制。验证 + 断言 + 架构演进，三者结合才能真正阻断注入路径。安全不是“没出问题”，而是“无法被利用”。