Хай юзаю я whereRaw вот в таком запросе -

DB::table('news')
            ->select('title', 'url', 'desc', 'text', 'created_at', 'image')
            ->where('delete', 0)
            ->where('enable', 2)
            /* || ---> отсеивание новостей у которых срок публикаций еще не подошел | */
            ->where(function ($query) {
                $query->whereNull('created_at')
                    ->orWhere('created_at', '<=', Carbon::now()->toDateTimeString());
            })
            /* || ---> |*/
            ->whereRaw('MATCH (`title`, `desc`, `text`) AGAINST (\''.$q.'\')')
            ->orderBy('created_at', 'desc')
            ->offset($offest)
            ->limit($paginate)
            ->get();

С переменной $q приходит поисковая слова - типа "машина", "видео" и т.п. Тут запросто можно отправить sql инъекцию.

https://laravel.ru/posts/250
Читал я эту документацию где написано - "Будьте внимательны и не допускайте возможностей для SQL-инъекций! при сырых запросах". Аха, понял. Теперь вопрос - а как я буду собственно защищаться? Такое уже не описано.
Тут я свою переменную $q хочу положить в mysqli_real_escape_string($database, $q)
НО тут есть одно проблема - я в mysqli_real_escape_string должен передать идентификатор соединение с базой mysql. Как это в laravel получить? :)

_____________
Жадный.... жадный.... жадный кот

mysqli.. там вроде как pdo под капотом

Вот не верю что не гуглится laravel orm escape

_____________
"internet explorer всех правильней отображает страницы" ©

У меня в кофигах подключен mysql. Ну не знаю кажется работает pdo все же

_____________
Жадный.... жадный.... жадный кот

...
            ->whereRaw('MATCH (`title`, `desc`, `text`) AGAINST (?)', [$q])
...

Получилось решить? Такая же ситуация