pg_update

    (PHP 4 >= 4.3.0, PHP 5, PHP 7, PHP 8)

    pg_update Modifica las líneas de una tabla

    Descripción

    function pg_update(
        PgSql\Connection $connection,
        string $table_name,
        array $values,
        array $conditions,
        int $flags = PGSQL_DML_EXEC
    ): string|bool

    pg_update() modifica las líneas de la tabla table_name, que cumplen la condición conditions con values.

    Si flags está especificado, pg_convert() se aplica a values con los flags proporcionados.

    Por omisión pg_update() pasa valores sin tratar. Los valores deben ser escapados o el flag PGSQL_DML_ESCAPE debe ser especificado en flags. PGSQL_DML_ESCAPE añade comillas y escapa los argumentos/identificadores. Por lo tanto, los nombres de tabla/columnas se vuelven sensibles a mayúsculas/minúsculas.

    Tenga en cuenta que ni el escape ni las consultas preparadas pueden proteger de consultas LIKE, JSON, arrays, Regex, etc. Estos argumentos deben ser tratados según su contexto. Es decir, escapar/validar los valores.

    Parámetros

    connection
    Una instancia PgSql\Connection.
    table_name

    El nombre de la tabla en la que las líneas serán actualizadas.

    values

    Un array cuyos claves son los nombres de los campos en la tabla table_name, y donde los valores son las líneas correspondientes que serán actualizadas.

    conditions

    Un array cuyos claves son los nombres de los campos en la tabla table_name, y donde los valores son las condiciones que deben cumplir las líneas para ser actualizadas.

    flags

    Cualquier combinación de constantes entre PGSQL_CONV_FORCE_NULL, PGSQL_DML_NO_CONV, PGSQL_DML_ESCAPE, PGSQL_DML_EXEC, PGSQL_DML_ASYNC o PGSQL_DML_STRING. Si PGSQL_DML_STRING forma parte del argumento flags, entonces la consulta será devuelta. Cuando la constante PGSQL_DML_NO_CONV o la constante PGSQL_DML_ESCAPE está definida, no se realizará ninguna llamada a la función pg_convert() internamente.

    Valores devueltos

    Esta función retorna true en caso de éxito o false si ocurre un error. Devuelve una string si PGSQL_DML_STRING es pasado a través del argumento flags.

    Historial de cambios

    Versión Descripción
    8.1.0 El parámetro connection ahora espera una instancia de PgSql\Connection ; anteriormente, se esperaba un resource.

    Ejemplos

    Ejemplo #1 Ejemplo con pg_update()

    <?php
  $db = pg_connect ('dbname=foo');
  $data = array('field1'=>'AA', 'field2'=>'BB');

  // Esto es seguro en cierta medida, ya que todos los valores son escapados
  // Sin embargo PostgreSQL soporta JSON/arrays. Estos no
  // son seguros ni por escape ni por consultas preparadas.
  $res = pg_update($db, 'post_log', $_POST, $data);
  if ($res) {
      echo "Los datos han sido modificados: $res\n";
  } else {
      echo "Problema en los datos del usuario\n";
  }
?>

    Ver también

    • pg_convert() - Convierte valores de un array asociativo a una forma adecuada para consultas SQL

    Found A Problem?

    Learn How To Improve This PageSubmit a Pull RequestReport a Bug
    add a note

    User Contributed Notes 3 notes

    up
    2
    dominik dot bonsch at homesono dot de
    18 years ago
    Using pg_update() and pg_insert() without key validation is not secure! 

You need to check which data pairs you get, and if you want to allow to updated this column. 

Example: 

You have a table with tree colums: username, password, userlevel. 

Your users may change only their username, and their password but not their userlevel.

If you don't filter the keys in the request array, every user can now change his userlevel just by sending a POST Request with "userlevel=>100".

So if you don't check if the key are allowed in your request array you'll get serious sql injection vulnarabilities in your code.
    up
    -2
    jhooks
    20 years ago
    > Return Values
> 
> Returns TRUE on success or FALSE on failure. Returns string if 
> PGSQL_DML_STRING is passed via options. 

I have found in my copy of PHP (version 4.4.0) that if you use the 'PGSQL_DML_STRING' option, the function does not execute any query.  It merely returns the query which would have been executed.  

Another thing I noticed, pg_update does not seem to make use of pg_trace (atleast in 4.4.0).

PS this isn't a bug report, just an explanation of some undocumented features I noticed.  As the manual says, the function is still in development so this behaviour may differ from version to version.
    up
    -4
    sdibb at myway dot com
    21 years ago
    This function is similar to PEAR::DB's autoExecute() function, with the only difference being that the where clause is an array instead of a string.

Also, if you want to use your instance of the DB class with this function, you can reference the existing resource connection with $db->connection.

An example would be:
<?
     pg_update($db->connection, $arr_update, $arr_where);
?>
    add a note
    To Top