pg_update

(PHP 4 >= 4.3.0, PHP 5, PHP 7, PHP 8)

pg_update — Modifica las líneas de una tabla

Descripción

pg_update(
    PgSql\Connection $connection,
    string $table_name,
    array $values,
    array $conditions,
    int $flags = PGSQL_DML_EXEC
): string|bool

pg_update() modifica las líneas de la tabla table_name, que cumplen la condición conditions con values.

Si flags está especificado, pg_convert() se aplica a values con los flags proporcionados.

Por omisión pg_update() pasa valores sin tratar. Los valores deben ser escapados o el flag PGSQL_DML_ESCAPE debe ser especificado en flags. PGSQL_DML_ESCAPE añade comillas y escapa los argumentos/identificadores. Por lo tanto, los nombres de tabla/columnas se vuelven sensibles a mayúsculas/minúsculas.

Tenga en cuenta que ni el escape ni las consultas preparadas pueden proteger de consultas LIKE, JSON, arrays, Regex, etc. Estos argumentos deben ser tratados según su contexto. Es decir, escapar/validar los valores.

Parámetros

connection: An PgSql\Connection instance.
table_name: El nombre de la tabla en la que las líneas serán actualizadas.
values: Un tableau cuyos claves son los nombres de los campos en la tabla table_name, y donde los valores son las líneas correspondientes que serán actualizadas.
conditions: Un tableau cuyos claves son los nombres de los campos en la tabla table_name, y donde los valores son las condiciones que deben cumplir las líneas para ser actualizadas.
flags: Cualquier combinación de constantes entre PGSQL_CONV_FORCE_NULL, PGSQL_DML_NO_CONV, PGSQL_DML_ESCAPE, PGSQL_DML_EXEC, PGSQL_DML_ASYNC o PGSQL_DML_STRING. Si PGSQL_DML_STRING forma parte del argumento flags, entonces la consulta será devuelta. Cuando la constante PGSQL_DML_NO_CONV o la constante PGSQL_DML_ESCAPE está definida, no se realizará ninguna llamada a la función pg_convert() internamente.

Valores devueltos

Devuelve true en caso de éxito o false en caso de error. Devuelve una chaîne de caractères si PGSQL_DML_STRING es pasado a través del argumento flags.

Historial de cambios

Versión	Descripción
8.1.0	The `connection` parameter expects an PgSql\Connection instance now; previously, a recurso was expected.

Ejemplos

Ejemplo #1 Ejemplo con pg_update()

<?php
  $db = pg_connect ('dbname=foo');
  $data = array('field1'=>'AA', 'field2'=>'BB');

  // Esto es seguro en cierta medida, ya que todos los valores son escapados
  // Sin embargo PostgreSSQL soporta JSON/arrays. Estos no
  // son seguros ni por escape ni por consultas preparadas.
  $res = pg_update($db, 'post_log', $_POST, $data);
  if ($res) {
      echo "Los datos han sido modificados: $res\n";
  } else {
      echo "Problema en los datos del usuario\n";
  }
?>

Ver también

pg_convert() - Convierte valores de un array asociativo a una forma adecuada para consultas SQL

Found A Problem?

Learn How To Improve This Page • Submit a Pull Request • Report a Bug

＋add a note

User Contributed Notes 3 notes

down

dominik dot bonsch at homesono dot de ¶

17 years ago

Using pg_update() and pg_insert() without key validation is not secure! 

You need to check which data pairs you get, and if you want to allow to updated this column. 

Example: 

You have a table with tree colums: username, password, userlevel. 

Your users may change only their username, and their password but not their userlevel.

If you don't filter the keys in the request array, every user can now change his userlevel just by sending a POST Request with "userlevel=>100".

So if you don't check if the key are allowed in your request array you'll get serious sql injection vulnarabilities in your code.

down

-2

jhooks ¶

19 years ago

> Return Values
> 
> Returns TRUE on success or FALSE on failure. Returns string if 
> PGSQL_DML_STRING is passed via options. 

I have found in my copy of PHP (version 4.4.0) that if you use the 'PGSQL_DML_STRING' option, the function does not execute any query.  It merely returns the query which would have been executed.  

Another thing I noticed, pg_update does not seem to make use of pg_trace (atleast in 4.4.0).

PS this isn't a bug report, just an explanation of some undocumented features I noticed.  As the manual says, the function is still in development so this behaviour may differ from version to version.

down

-4

sdibb at myway dot com ¶

20 years ago

This function is similar to PEAR::DB's autoExecute() function, with the only difference being that the where clause is an array instead of a string.

Also, if you want to use your instance of the DB class with this function, you can reference the existing resource connection with $db->connection.

An example would be:
<?
     pg_update($db->connection, $arr_update, $arr_where);
?>

＋add a note