Hola colega del código. Cuando empezamos un proyecto con Laravel, muchas veces parece que tenemos una varita mágica. Eloquent, el ORM de Laravel, hace que hablar con la base de datos sea un paseo. Es limpio, intuitivo y normalmente simplemente funciona. Escribimos código legible y elegante, y la base de datos obedece sin drama.
Pero a veces llega el muro. Esa consulta perfecta con Eloquent no termina de cuadrar, o necesitas algo muy específico que Eloquent decide no manejar. Ahí es cuando recurrimos al SQL en crudo, del que escribimos a mano. Se siente como salir del castillo cómodo y entrar en los callejones. Y si no tienes cuidado, ese SQL crudo puede convertirse en algo que ojalá nadie tenga que ver jamás.
La magia de Eloquent
Eloquent es fantástico. Es un mapeador objeto relacional que nos permite trabajar con tablas como si fueran objetos PHP. En lugar de escribir SQL, escribimos código orientado a objetos claro.
Una muestra de su elegancia:
// Buscar un usuario por ID
$user = User::find(1);
// Obtener todos los posts publicados
$posts = Post::where(published, true)->get();
// Crear un producto nuevo
$product = Product::create([ name => Nuevo_Widget, price => 19.99 ]);
Eloquent nos protege de inyección SQL, gestiona relaciones entre tablas y mantiene el código muy ordenado. Ahorra horas y horas gracias a su elegancia.
Cuando se apaga la magia y entra SQL crudo
- Consultas muy complejas: informes con joins múltiples, subconsultas o agrupaciones específicas que son difíciles o imposibles de expresar con Eloquent de forma limpia.
- Caza de rendimiento: en zonas críticas, una consulta SQL optimizada a mano puede ser más rápida que la generada por Eloquent. A veces cada milisegundo cuenta.
- Funciones específicas del motor: tu base de datos puede tener funciones o tipos especiales sin soporte directo en Eloquent, como datos espaciales, funciones de fecha avanzadas o agregaciones complejas.
- Herencia y legados raros: bases de datos antiguas con nombres extraños, tipos peculiares o tablas sin claves primarias. El SQL crudo puede ser el camino más directo para obtener datos.
Para usar SQL crudo sin hacer un desastre, el facade DB es tu aliado.
// Seleccionar datos
$users = DB::select(SELECT * FROM users WHERE active = ?, [1]);
// Insertar datos
DB::insert(INSERT INTO products name, price VALUES ?, ?, [Fancy_Gadget, 29.99]);
// Actualizar datos
DB::update(UPDATE orders SET status = ? WHERE id = ?, [shipped, 123]);
// Borrar datos
DB::delete(DELETE FROM carts WHERE user_id = ?, [456]);
// Ejecutar un statement general
DB::statement(DROP TABLE IF EXISTS old_data);
Observa los signos de interrogación y el array de valores. Eso son bindings o consultas preparadas.
Zona de peligro: inyección SQL
El mayor riesgo con SQL crudo es la inyección SQL. Ocurre cuando introduces datos de usuario directamente en la consulta sin saneamiento. Si concatenas un término de búsqueda a un LIKE %termino% y alguien introduce ; DROP TABLE products; -- el motor puede interpretar un segundo comando y destruir la tabla. Por eso los placeholders con ? y los bindings son vitales: el método DB::select y compañía escapan los valores de forma segura.
Consejos para usar SQL crudo con cabeza
1. Usa siempre bindings: jamás pongas datos de usuario directamente en la cadena SQL. Emplea placeholders y pasa los valores por separado.
2. Encapsula las consultas crudas complejas: no las esparzas por controladores. Envuelve cada consulta en un método de modelo o en un repositorio para mantener el orden y facilitar el mantenimiento.
3. Prueba exhaustivamente: sin la red de seguridad de Eloquent, tú eres responsable de la corrección, eficiencia y seguridad. Escribe tests unitarios y de integración.
4. Considera vistas o procedimientos almacenados: para informes muy complejos o consultas reutilizadas, la lógica puede vivir en la base de datos y tu app solo consulta la vista o ejecuta el procedimiento.
5. Usa DB::raw dentro de Eloquent cuando baste con un fragmento: por ejemplo, un COUNT personalizado dentro de una consulta Eloquent.
$usersCount = User::select(DB::raw(COUNT(*) as total_users))->where(active, true)->get();
Así mantienes la mayor parte de la consulta en Eloquent, con un toque de SQL cuando es necesario.
6. Documenta el SQL crudo: explica por qué elegiste SQL crudo, qué hace la consulta y consideraciones especiales. Te lo agradecerá tu yo del futuro.
Conclusiones
Eloquent debería ser tu primera opción para casi todas las interacciones con la base de datos por su limpieza, legibilidad y seguridad. Sin embargo, el SQL crudo no es un villano: es una herramienta potente para escenarios específicos como informes complejos, necesidades extremas de rendimiento o funciones únicas del motor. Cuando lo uses, asumes la responsabilidad total de la corrección y, sobre todo, de la seguridad. Utiliza siempre consultas parametrizadas con bindings, encapsula, prueba y documenta. Respeta su potencia y mantén fuera de tu base de código ese SQL que ojalá nadie tenga que ver.
En Q2BSTUDIO vivimos estas buenas prácticas a diario. Somos una empresa de desarrollo de software que crea aplicaciones a medida y software a medida, integramos inteligencia artificial y agentes IA en soluciones reales para ia para empresas, reforzamos ciberseguridad con auditorías y pentesting, y trabajamos con servicios cloud aws y azure, además de servicios inteligencia de negocio con power bi. Si buscas un socio que combine código limpio con estrategia tecnológica, podemos ayudarte.
Descubre cómo diseñamos y construimos productos digitales sólidos con software a medida y aplicaciones a medida, y cómo protegemos tus datos y tu reputación con nuestros servicios de ciberseguridad y pentesting. También impulsamos analítica con power bi, automatización de procesos, y soluciones de inteligencia artificial listas para producción.