绑定DB::raw但不是DB::select(DB:raw())

Question

我有一个用户搜索栏，允许客户按名称、用户名或用户角色名称(例如管理、管理器等)搜索用户。

在我的查询中，我使用DB::raw来连接以下字段：user.forename + user.surname + role.name + user.username，这样用户就可以搜索这四个字段中的任何一个，并且可以搜索John、Smith或John Smith。

在我的orWhere查询中，我使用DB::raw来执行连接，但是我找不到一个雄辩的例子，说明如何将params绑定到不包括外部包装器DB::select(DB::raw())的DB::raw，并且我尝试使用:searchTerm并传入一个关联数组作为DB::raw的第二个参数，我还尝试在这两种情况下使用LIKE ?，$filters['searchFilter']在转储绑定查询中返回null，但是$filters['searchFilters']的dd()表明它确实是设置的。

使用sprintf()并不能保护我不受SQL注入的影响。有更好的方法吗？

$users->where(function ($query) use ($filters) {
    $query->orWhere(
        DB::raw("CONCAT(users.forename, ' ', users.surname, ' ', CASE WHEN roles.name IS NULL THEN ' ' ELSE roles.name END, ' ', users.username)"),
       'LIKE',
       sprintf('%%%s%%', $filters['searchFilter'])
    );
});

Answer 1

最后，我使用了->orWhereRaw来解决这个问题，如下所示：

        $users->where(function ($query) use ($searchTerm) {
            $query->orWhereRaw('users.forename LIKE ?', [sprintf('%%%s%%', $searchTerm)]);
            $query->orWhereRaw('users.surname LIKE ?', [sprintf('%%%s%%', $searchTerm)]);
            $query->orWhereRaw('CONCAT(users.forename, \' \', org_users.surname) LIKE ?', [sprintf('%%%s%%', $searchTerm)]);
            $query->orWhereRaw('users.username LIKE ?', [sprintf('%%%s%%', $searchTerm)]);
            $query->orWhereRaw('CASE WHEN roles.name IS NOT NULL THEN auth_roles.name ELSE \' \' END LIKE ?', [sprintf('%%%s%%', $searchTerm)]);
        });