No passado um software que eu estava desenvolvendo passou por um PenTest, e a consultoria conseguiu listar todos os usuários da tabela, com todos os dados (e-mail, hash da senha, etc) manipulando a query de forma similar. Na ocasião eu usava o Laravel mas não usava o Eloquent, e dali em diante não usei mais queries raw para absolutamente nada.