pg_insert
(PHP 4 >= 4.3.0, PHP 5, PHP 7)
pg_insert — テーブルに配列を挿入する
説明
pg_insert
( resource $connection
, string $table_name
, array $assoc_array
[, int $options = PGSQL_DML_EXEC
] ) : mixed
pg_insert() は、
table_name で指定したテーブルに
assoc_array の値をを挿入します。
options が指定されている場合、そのオプションと
ともに pg_convert() が
assoc_array に適用されます。
デフォルトでは、 pg_insert() は生の値を渡します。 値はエスケープするか、PGSQL_DML_ESCAPE オプションを指定しなければいけません。 PGSQL_DML_ESCAPE はパラメータや識別子をクォートし、エスケープします。 よって、テーブル/カラム名は大文字小文字を区別します。
エスケープやプリペアドクエリであっても、 LIKE, JSON, Array, Regex などのクエリを守れない可能性があることに注意してください。 これらのパラメータはコンテクストに応じて処理されるべきです。 たとえば、値をエスケープ/検証する処理を行うことなどです。
パラメータ
connection- PostgreSQL データベースの接続リソース。
table_name- 行を挿入するテーブルの名前。テーブル
table_nameは、少なくともassoc_arrayの要素数ぶんのカラムを 保持している必要があります。 assoc_array- テーブル
table_nameのフィールド名をキーに、 挿入する内容を値にもつ配列。 optionsPGSQL_CONV_OPTS、PGSQL_DML_NO_CONV、PGSQL_DML_ESCAPE、PGSQL_DML_EXEC、PGSQL_DML_ASYNCあるいはPGSQL_DML_STRINGを組み合わせた数。PGSQL_DML_STRINGがoptionsに含まれていた場合、 クエリ文字列が返されます。PGSQL_DML_NO_CONVあるいはPGSQL_DML_ESCAPEが設定されている場合は、内部的に pg_convert() を呼びません。
返り値
成功時に接続リソースを返し、失敗した場合に false を返します。
options で
PGSQL_DML_STRING が渡された場合は文字列を返します。
例
例1 pg_insert() の例
<?php $dbconn = pg_connect('dbname=foo'); // これは少しだけ安全です。なぜなら、全ての値がエスケープされるからです。 // しかし、PostgreSQL は JSON/Array をサポートしています。これらの型に // ついてはエスケープされたクエリや、プリペアドクエリでも安全ではありません。 $res = pg_insert($dbconn, 'post_log', $_POST, PG_DML_ESCAPE); if ($res) { echo "POST data is successfully logged\n"; } else { echo "User must have sent wrong inputs\n"; }?>
変更履歴
| バージョン | 説明 |
|---|---|
| 5.6.0 | PGSQL_DML_STRING が渡されない限り、
この関数は、成功時に |
| 5.6.0 | 実験的な関数ではなくなりました。定数 PGSQL_DML_ESCAPE が追加されました。
|
| 5.5.3/5.4.19 | table_name に対する SQL インジェクション、そして識別子に対する間接的な SQL インジェクションの問題を修正しました。
|
