Last updated: Fri, 04 Jul 2008

pg_query_params

(PHP 5 >= 5.1.0)

pg_query_params — Sendet ein Kommando zum Server und wartet seine Ausführung ab. Getrennt vom SQL-Kommando können dabei Parameter übergeben werden.

Beschreibung

resource pg_query_params ( resource $connection , string $query , array $params )

resource pg_query_params ( string $query , array $params )

Sendet ein Kommando zum Server und wartet seine Ausführung ab. Getrennt vom SQL-Kommando können dabei Parameter übergeben werden.

pg_query_params() ist ähnlich wie pg_query(), bietet aber zusätzlich die Möglichkeit, Parameterwerte ausserhalb des SQL-Kommandos separat zu übergeben. pg_query_params() wird nur für Verbindungen zu PostgreSQL ab der Version 7.4 unterstützt und schlägt bei allen niedrigeren Versionen fehl.

Falls irgendwelche Parameter übergeben wurden, werden diese in query als $1, $2 usw. referenziert. Im Array params werden die aktuellen Parameterwerte übergeben. Der Wert NULL in diesm Array repräsentiert den SQL-Wert NULL.

Der Hauptvorteil von pg_query_params() gegenüber pg_query() liegt darin, dass Parameterwerte vom SQL-Kommando getrennt übergeben werden können und damit das fehlerträchtige und lästige Maskieren und Setzen von Anführungszeichen vermieden werden kann. Im Unterschied zu pg_query() ist bei pg_query_params() nur ein einziges SQL-Kommando erlaubt. (Es können auch Semikolons enthalten sein, aber nicht mehr als ein nichtleeres Kommando.)

Parameter-Liste

connection: PostgreSQL Verbindungkennung. Falls connection nicht angegeben wurde, wird die zuletzt mit pg_connect() oder pg_pconnect() geöffnete Verbindung benutzt.
query: Die parametrisierte Abfrage. Diese darf nur ein einziges SQL-Kommando enthalten (mehrere Kommandos, durch Semikolon getrennt, sind nicht zulässig). Falls Parameter übergeben werden, werden sie als $1, $2, ... referenziert.
params: Ein Array mit Parameterwerten, mit denen die Platzhalter $1, $2 usw. in der ursprünglichen vorbereiteten Abfrage ersetzt werden. Die Anzahl der Elemente dieses Arrays muss mit der Anzahl der Platzhalter übereinstimmen.

Rückgabewerte

Bei Erfolg wird eine Ergebniskennung zurückgegeben, ansonsten FALSE.

Beispiele

Beispiel #1 pg_query_params() benutzen:


<?php
// Verbindung zu einer Datenbank namens "mary" aufbauen
$dbconn = pg_connect("dbname=mary");

// Alle Shops mit dem Namen Joe's Widgets finden. Beachten Sie, dass es
// nicht nötig ist, den String "Joe's Widgets" zu maskieren.
$result = pg_query_params($dbconn, 'SELECT * FROM shops WHERE name = $1', array("Joe's Widgets"));

// Vergleich mit pg_query
$str = pg_escape_string("Joe's Widgets");
$result = pg_query($dbconn, "SELECT * FROM shops WHERE name = '{$str}'");

?>

Siehe auch

pg_query()

pg_query

pg_put_line

Last updated: Fri, 04 Jul 2008

add a note User Contributed Notes
pg_query_params

jsnell at e-normous dot com
26-Sep-2007 03:57


When inserting into a pg column of type bool, you cannot supply a PHP type of bool.  You must instead use a string "t" or "f". PHP attempts to change boolean values supplied as parameters to strings, and then attempts to use a blank string for false.



Example of Failure:

pg_query_params('insert into table1 (bool_column) values ($1)', array(false));



Works:

pg_query_params('insert into lookup_permissions (system) values ($1)', array(false ? 't' : 'f'));

dt309 at f2s dot com
22-Dec-2006 12:11


If you need to provide multiple possible values for a field in a select query, then the following will help.



<?php

// Assume that $values[] is an array containing the values you are interested in.

$values = array(1, 4, 5, 8);



// To select a variable number of arguments using pg_query() you can use:

$valuelist = implode(', ', $values);

$query = "SELECT * FROM table1 WHERE col1 IN ($valuelist)";

$result = pg_query($query)

    or die(pg_last_error());



// You may therefore assume that the following will work.

$query = 'SELECT * FROM table1 WHERE col1 IN ($1)';

$result = pg_query_params($query, array($valuelist))

    or die(pg_last_error());

// Produces error message: 'ERROR: invalid input syntax for integer'

// It only works when a SINGLE value specified.



// Instead you must use the following approach:

$valuelist = '{' . implode(', ', $values . '}'

$query = 'SELECT * FROM table1 WHERE col1 = ANY ($1)';

$result = pg_query_params($query, array($valuelist));

?>



The error produced in this example is generated by PostGreSQL.



The last method works by creating a SQL array containing the desired values. 'IN (...)' and ' = ANY (...)' are equivalent, but ANY is for working with arrays, and IN is for working with simple lists.

mledford
04-Oct-2006 08:18


If you are trying to replicate the function pg_query_params, you might also want to support NULL values. While is_int returns true for a NULL value, the formatting for the SQL.



function pg_query_params( $db, $query, $parameters ) {

    // Escape parameters as required & build parameters for callback function

    global $pg_query_params__parameters;

    foreach( $parameters as $k=>$v ) {

        if ( is_null($v) ) {

            $parameters[$k] = 'NULL';

        } else {

            $parameters[$k] = ( is_int( $v ) ? $v : "'".pg_escape_string( $v )."'" );

        }

    }

    $pg_query_params__parameters = $parameters;

        

    // Call using pg_query

    return pg_query( $db, preg_replace_callback( '/\$([0-9]+)/', 'pg_query_params__callback', $query));

}

cc+php at c2se dot com
02-Sep-2006 05:17


This is a useful function for preventing SQL injection attacks, so, for those of us who are not yet able to upgrade to PHP5.1, here is a replacement function which works similarly on older versions of PHP...



<?php   # Parameterised query implementation for Postgresql and older versions of PHP



        if( !function_exists( 'pg_query_params' ) ) {



                function pg_query_params__callback( $at ) {

                        global $pg_query_params__parameters;

                        return $pg_query_params__parameters[ $at[1]-1 ];

                }



                function pg_query_params( $db, $query, $parameters ) {



                        // Escape parameters as required & build parameters for callback function

                        global $pg_query_params__parameters;

                        foreach( $parameters as $k=>$v )

                                $parameters[$k] = ( is_int( $v ) ? $v : "'".pg_escape_string( $v )."'" );

                        $pg_query_params__parameters = $parameters;



                        // Call using pg_query

                        return pg_query( $db, preg_replace_callback( '/\$([0-9]+)/', 'pg_query_params__callback', $query ) );



                }

        }



        // Example: pg_query_params( $db_resource, "SELECT * FROM table WHERE col1=$1 AND col2=$2", array( 42, "It's ok" ) );

?>

add a note

pg_query

pg_put_line

Last updated: Fri, 04 Jul 2008