pg_update

    (PHP 4 >= 4.3.0, PHP 5, PHP 7, PHP 8)

    pg_update Modifie les lignes d'une table

    Description

    function pg_update(
        PgSql\Connection $connection,
        string $table_name,
        array $values,
        array $conditions,
        int $flags = PGSQL_DML_EXEC
    ): string|bool

    pg_update() modifie les lignes de la table table_name, qui vérifient la condition conditions avec values.

    Si flags est spécifié, pg_convert() est appliqué à values avec les drapeaux fournis.

    Par défaut pg_update() passe des valeurs brutes. Les valeurs doivent être échappées ou le drapeau PGSQL_DML_ESCAPE doit être spécifié dans flags. PGSQL_DML_ESCAPE met des guillemets et échappe les paramètres/identifiants. Par conséquent, les noms de table/colonnes deviennent sensibles à la casse.

    Il est à noter que ni l'échappement ni les requêtes préparées peuvent protéger des requêtes LIKE, JSON, Tableaux, Regex, etc. Ces paramètres devraient être traités en fonction de leur contexte. C'est-à-dire échapper/valider les valeurs.

    Liste de paramètres

    connection
    Une instance PgSql\Connection.
    table_name

    Le nom de la table dans laquelle les lignes seront mises à jour.

    values

    Un tableau dont les clés sont les noms des champs dans la table table_name, et où les valeurs sont les lignes correspondantes qui seront mises à jour.

    conditions

    Un tableau dont les clés sont les noms des champs dans la table table_name, et où les valeurs sont les conditions à remplir par les lignes pour être mises à jour.

    flags

    Toutes combinaisons de constantes parmi PGSQL_CONV_FORCE_NULL, PGSQL_DML_NO_CONV, PGSQL_DML_ESCAPE, PGSQL_DML_EXEC, PGSQL_DML_ASYNC ou PGSQL_DML_STRING. Si PGSQL_DML_STRING fait partie du paramètre flags, alors la requête sera retournée. Lorsque la constante PGSQL_DML_NO_CONV ou la constante PGSQL_DML_ESCAPE est définie, aucun appel à la fonction pg_convert() ne sera réalisé en interne.

    Valeurs de retour

    Cette fonction retourne true en cas de succès ou false si une erreur survient. Retourne une chaîne de caractères si PGSQL_DML_STRING est passé via le paramètre flags.

    Historique

    Version Description
    8.1.0 Le paramètre connection attend désormais une instance de PgSql\Connection ; auparavant, une resource était attendu.

    Exemples

    Exemple #1 Exemple avec pg_update()

    <?php 
  $db = pg_connect ('dbname=foo');
  $data = array('field1'=>'AA', 'field2'=>'BB');
  
  // Ceci est sûr quelque peu, car toutes les valeurs sont échappées
  // Cependant PostgreSQL supporte les JSON/Tableaux. Ceux-ci ne sont pas
  // sûrs ni par échappement ni par les requêtes préparées.
  $res = pg_update($db, 'post_log', $_POST, $data);
  if ($res) {
      echo "Les données ont été modifiées : $res\n";
  } else {
      echo "Problème dans les données utilisateur\n";
  }
?>

    Voir aussi

    • pg_convert() - Convertit des valeurs d'un tableau associatif en une forme convenable pour des requêtes SQL

    Found A Problem?

    Learn How To Improve This PageSubmit a Pull RequestReport a Bug
    add a note

    User Contributed Notes 3 notes

    up
    2
    dominik dot bonsch at homesono dot de
    18 years ago
    Using pg_update() and pg_insert() without key validation is not secure! 

You need to check which data pairs you get, and if you want to allow to updated this column. 

Example: 

You have a table with tree colums: username, password, userlevel. 

Your users may change only their username, and their password but not their userlevel.

If you don't filter the keys in the request array, every user can now change his userlevel just by sending a POST Request with "userlevel=>100".

So if you don't check if the key are allowed in your request array you'll get serious sql injection vulnarabilities in your code.
    up
    -2
    jhooks
    20 years ago
    > Return Values
> 
> Returns TRUE on success or FALSE on failure. Returns string if 
> PGSQL_DML_STRING is passed via options. 

I have found in my copy of PHP (version 4.4.0) that if you use the 'PGSQL_DML_STRING' option, the function does not execute any query.  It merely returns the query which would have been executed.  

Another thing I noticed, pg_update does not seem to make use of pg_trace (atleast in 4.4.0).

PS this isn't a bug report, just an explanation of some undocumented features I noticed.  As the manual says, the function is still in development so this behaviour may differ from version to version.
    up
    -5
    sdibb at myway dot com
    21 years ago
    This function is similar to PEAR::DB's autoExecute() function, with the only difference being that the where clause is an array instead of a string.

Also, if you want to use your instance of the DB class with this function, you can reference the existing resource connection with $db->connection.

An example would be:
<?
     pg_update($db->connection, $arr_update, $arr_where);
?>
    add a note
    To Top