pg_update

(PHP 4 >= 4.3.0, PHP 5, PHP 7, PHP 8)

pg_update — Aktualisiert eine Tabelle

Beschreibung

function pg_update(
    PgSql\Connection $connection,
    string $table_name,
    array $values,
    array $conditions,
    int $flags = PGSQL_DML_EXEC
): string|bool

pg_update() überschreibt alle Datensätze in table_name, die die Bedingungen in conditions erfüllen, mit den Werten aus values.

Falls flags angegeben wurde, wird pg_convert() mit den angegebenen Flags auf values angewendet.

Standardmäßig übergibt pg_update() Rohwerte. Die Werte müssen entweder maskiert werden oder das Flag PGSQL_DML_ESCAPE muss in flags angegeben werden. PGSQL_DML_ESCAPE maskiert Parameter und Bezeichner und setzt sie in Anführungszeichen. Daher muss bei Tabellen- und Spaltennamen zwischen Groß- und Kleinschreibung unterschieden werden.

Es ist zu beachten, dass weder die Maskierung noch eine vorbereitete Abfrage LIKE-Abfragen, JSON, Array, Regex usw. schützen können. Diese Parameter sollten im Kontext behandelt werden, d. h. Werte maskieren und validieren.

Parameter-Liste

connection: Eine PgSql\Connection-Instanz.
table_name: Der Name der Tabelle, die aktualisiert werden soll.
values: Ein Array, dessen Schlüssel Feldnamen von table_name sind und mit dessen Werten die entsprechenden Datensätze aktualisiert werden.
conditions: Ein Array, dessen Schlüssel Feldnamen von table_name sind und dessen Werte die Bedingungen sind, die ein Datensatz erfüllen muss, um aktualisiert zu werden.
flags: Jede Kombination aus PGSQL_CONV_FORCE_NULL, PGSQL_DML_NO_CONV, PGSQL_DML_ESCAPE, PGSQL_DML_EXEC, PGSQL_DML_ASYNC und PGSQL_DML_STRING. Falls PGSQL_DML_STRING in den flags enthalten ist, wird der Abfragestring zurückgegeben. Werden PGSQL_DML_NO_CONV oder PGSQL_DML_ESCAPE angegeben, wird pg_convert() intern nicht aufgerufen.

Rückgabewerte

Gibt bei Erfolg true zurück. Bei einem Fehler wird false zurückgegeben. Gibt einen String zurück, falls PGSQL_DML_STRING mit dem Parameter flags übergeben wurde.

Changelog

Version	Beschreibung
8.1.0	Der Parameter `connection` erwartet nun eine PgSql\Connection-Instanz; vorher wurde eine Ressource erwartet.

Beispiele

Beispiel #1 pg_update()-Beispiel

<?php
  $db = pg_connect('dbname=foo');
  $data = array('field1'=>'AA', 'field2'=>'BB');
  // Das ist einigermaßen sicher, da alle Werte maskiert werden.
  // Allerdings unterstützt PostgreSQL JSON/Array. Diese sind nicht
  // sicher, da sie Abfragen weder maskieren noch vorbereiten.
  $res = pg_update($db, 'post_log', $_POST, $data);
  if ($res) {
      echo "Daten wurden aktualisiert: $res\n";
  } else {
      echo "Falsche Eingabe\n";
  }
?>

Siehe auch

pg_convert() - Konvertiert die Werte eines assoziativen Arrays in die für SQL-Anweisungen passende Form

Found A Problem?

Learn How To Improve This Page • Submit a Pull Request • Report a Bug

＋add a note

User Contributed Notes 3 notes

down

dominik dot bonsch at homesono dot de ¶

18 years ago

Using pg_update() and pg_insert() without key validation is not secure! 

You need to check which data pairs you get, and if you want to allow to updated this column. 

Example: 

You have a table with tree colums: username, password, userlevel. 

Your users may change only their username, and their password but not their userlevel.

If you don't filter the keys in the request array, every user can now change his userlevel just by sending a POST Request with "userlevel=>100".

So if you don't check if the key are allowed in your request array you'll get serious sql injection vulnarabilities in your code.

down

-2

jhooks ¶

20 years ago

> Return Values
> 
> Returns TRUE on success or FALSE on failure. Returns string if 
> PGSQL_DML_STRING is passed via options. 

I have found in my copy of PHP (version 4.4.0) that if you use the 'PGSQL_DML_STRING' option, the function does not execute any query.  It merely returns the query which would have been executed.  

Another thing I noticed, pg_update does not seem to make use of pg_trace (atleast in 4.4.0).

PS this isn't a bug report, just an explanation of some undocumented features I noticed.  As the manual says, the function is still in development so this behaviour may differ from version to version.

down

-5

sdibb at myway dot com ¶

21 years ago

This function is similar to PEAR::DB's autoExecute() function, with the only difference being that the where clause is an array instead of a string.

Also, if you want to use your instance of the DB class with this function, you can reference the existing resource connection with $db->connection.

An example would be:
<?
     pg_update($db->connection, $arr_update, $arr_where);
?>

＋add a note