На саммо деле не совсем — сущности не экранируются, т.к. Blade использует e(), а он использует htmlspecialchars() с $double_encode = false. То есть e('<') === '<', а не &lt;, то может иногда породить проблемы.
- вручную очищать?
Очищать не надо, надо просто не создавать дыр. Всё зависит от контекста — где-то SQL-инъекция это просто часть текста (статьи, например).
]]>