pg_insert

(PHP 4 >= 4.3.0, PHP 5, PHP 7)

pg_insert Wstawia tablicę do tabeli

Opis

pg_insert ( resource $identyfikator_połączenia , string $nazwa_tabeli , array $tablica_asocjacyjna [, int $opcje = PGSQL_DML_EXEC ] ) : mixed

pg_insert() wstawia wartości parametru tablica_asocjacyjna do tabeli określonej przez parametr nazwa_tabeli. Jeśli określono jakieś opcje, funkcja pg_convert() stosuje do parametru tablica_asocjacyjna określone opcje.

Parametry

identyfikator_połączenia

Identyfikator połączenia do bazy PostgreSQL.

nazwa_tabeli

Nazwa tabeli, do której mają zostać dodane wiersze. Tabela nazwa_tabeli musi mieć przynajmniej tyle kolumn, ile elementów ma tablica_asocjacyjna.

tablica_asocjacyjna

Tablica (ang. array), której klucze to nazwy pól w tabeli nazwa_tabeli, oraz której wartościami są wartości tych pól, które mają zostać wpisane.

opcje

Dowolna kombinacja dowolnej ilości parametrów: PGSQL_CONV_OPTS, PGSQL_DML_NO_CONV, PGSQL_DML_ESCAPE, PGSQL_DML_EXEC, PGSQL_DML_ASYNC oraz PGSQL_DML_STRING. Gdy PGSQL_DML_STRING jest zawarty w parametrze opcje, zwrócony zostanie łańcuch zapytania z URL (ang. query string). Kiedy ustawione jest PGSQL_DML_NO_CONV lub PGSQL_DML_ESCAPE, funkcja nie wykonuje pg_convert() wewnętrznie.

Zwracane wartości

Zwraca zasób połączenia w razie powodzenia, lub FALSE w przypadku niepowodzenia. Zwraca łańcuch (ang. string) jeśli PGSQL_DML_STRING zostało wprowadzone poprzez parametr opcje.

Przykłady

Przykład #1 pg_insert() - przykład

<?php
  $polaczenie_do_bazy 
pg_connect ('dbname=foo');
  
// To wywołanie jest bezpieczne, odkąd $_POST jest konwertowane automatycznie
  
$res pg_insert($polaczenie_do_bazy'kopia_post'$_POST);
  if (
$res) {
      echo 
"Dane z tablicy POST zapisane pomyślnie\n";
  } else {
      echo 
"Użytkownik musiał wysłać złe dane\n";
  }
?>

Rejestr zmian

Wersja Opis
5.6.0 Dopóki nie jest przekazana stała PGSQL_DML_STRING funkcja zwraca teraz zasób połączenia zamiast TRUE w wypadku powodzenia.
5.6.0 Funkcja nie jest dłużej eksperymentalna. Dodano stałą PGSQL_DML_ESCAPE oraz wsparcie typów danych TRUE/FALSE i NULL.
5.5.3/5.4.19 Bezpośredni atak SQL injection na parametr nazwa_tabeli i pośredni na identyfikatory został uniemożliwiony.

Zobacz też:

  • pg_convert() - Konwertuje tablice asocjacyjne na postać użyteczną w zapytaniu SQL.

add a note add a note

User Contributed Notes 9 notes

up
2
skippy at zuavra dot net
15 years ago
Beware of the following: pg_insert() and pg_update() are adding slashes to all character-like fields they work with. This makes them SQL injection super-safe, but there are unwanted consequences, as follows:

If you have a regular setup with magic_quotes_gcp=On, and you use pg_insert() or pg_update(), you will end up with fields that look as if you used addslashes() twice. To solve this, you can use stripslashes() on the data just before using it with pg_insert() or pg_update().

There's another alternative, which seems better to me. Why make yourself crazy all over the code, adding slashes, stripping slashes, worrying whether magic_quotes_gpc is on or off and so on and so forth? Why do this, when the only place you actually need those slashes is right when you push the data into the database?

So why not get rid of your addslashes() and stripslashes() from all over your code, and turn magic_quotes_gcp off. As long as you always use pg_insert() and pg_update() to do your DB work, you're SQL-injection safe AND slash-headache free.
up
5
shane at treesandthings dot com
16 years ago
Returns SQL statement, slight improvement on the code from 'rorezende at hotmail dot com'.  This version adds bool values correctly.It also checks to make sure there is actually a value in the array before including it in the sql statement. (ie: null values or empty strings won't be added to the sql statement)

<?PHP
function db_build_insert($table,$array)
{

  
$str = "insert into $table ";
  
$strn = "(";
  
$strv = " VALUES (";
   while(list(
$name,$value) = each($array)) {

       if(
is_bool($value)) {
               
$strn .= "$name,";
               
$strv .= ($value ? "true":"false") . ",";
                continue;
        };

       if(
is_string($value)) {
               
$strn .= "$name,";
               
$strv .= "'$value',";
                continue;
        }
       if (!
is_null($value) and ($value != "")) {
               
$strn .= "$name,";
               
$strv .= "$value,";
                continue;
       }
   }
  
$strn[strlen($strn)-1] = ')';
  
$strv[strlen($strv)-1] = ')';
  
$str .= $strn . $strv;
   return
$str;

}
?>
up
1
jsnell at e-normous dot com
13 years ago
If you need schema support, this function will do something similar to pg_insert:

function pg_insert_with_schema($connection, $table, $updates)
{
$schema = 'public';
if (strpos($table, '.') !== false)
    list($schema, $table) = explode('.', $table);

    if (count($updates) == 0) {
        $sql = "INSERT INTO $schema.\"$table\" DEFAULT VALUES";
            return pg_query($sql);
        } else {
$sql = "INSERT INTO $schema.\"$table\" ";
           
$sql .= '("';
$sql .= join('", "', array_keys($updates));
$sql .= '")';

$sql .= ' values (';
for($i = 0; $i < count($updates); $i++)
   $sql .= ($i != 0? ', ':'').'$'.($i+1);
$sql .= ')';
return pg_query_params($connection, $sql, array_values($updates));
}
}
up
1
rorezende at hotmail dot com
17 years ago
Time is money, then I write a function similar to pg_insert in PHP (only output sql statement) :

   function db_mount_insert($table,$array) {

    $str = "insert into $table (";
    while(list($name,$value) = each($array)) {       
        $str .= "$name,";       
    }
    $str[strlen($str)-1] = ')';
    $str .= " values (";
    reset($array);
    while(list($name,$value) = each($array)) {       
        if(is_string($value))
            $str .= "'$value',";
        else
            $str .= "$value,";
    }
    $str[strlen($str)-1] = ')';
    $str .= ";"    ;
   
    return $str;

   }
up
0
mina86 at tlen dot pl
16 years ago
Next version :) My version checks whether value is bool, null, string or numeric and if one of the values is not function returns false if not. null values are inserted as NULL, bool as true or false and strings are add-shlashed before adding to query string. Note, that this function is not safe. SQL injection is possible with column names if you use $_POST or something similar as a $array.

<?php
function db_build_insert($table, $array) {
  if (
count($array)===0) return false;
 
$columns = array_keys($array);
 
$values = array_values($array);
  unset(
$array);

  for (
$i = 0, $c = count($values); $i$c; ++$i) {
    if (
is_bool($values[$i])) {
     
$values[$i] = $values[$i]?'true':'false';
    } elseif (
is_null($values[$i])) {
     
$values[$i] = 'NULL';
    } elseif (
is_string($values[$i])) {
     
$values[$i] = "'" . addslashes($values[$i]) . "'";
    } elseif (!
is_numeric($values[$i])) {
      return
false;
    }
  }

  return
"INSERT INTO $table ($column_quote" . implode(', ', $columns) .
   
") VALUES (" . implode(', ', $values) . ")";
}
?>
up
-1
phpuser at ego dot gen dot nz
8 years ago
This function cannot be used to insert a record with only default values - i.e. with an assoc_array of array()
up
-1
excalibur at nospam dot icehouse dot net
14 years ago
Today at work I isolated a problem I was having with this function to how I was formatting the date.  I was assigning the date in my code as follows:

$today = date( "Ymd" ); // ISO 8601

This format is acceptable to PostgreSQL, as verified by their documentation and buy tests using psql.  However, to make it work in my code, I had to make the following change:

$today = date( "Y-m-d" ); // also ISO 8601 format
up
-3
ANDYCHR17 at HOTMAIL dot COM
14 years ago
Had a few issues while trying to run this in PHP 4.4.0:

- I could not get it to work with column names that are SQL reserved words (example: desc, order). I was forced to change the column names in order to use the function. I could not put the column names in quotes, because that caused pg_convert() to fail.

- Function was returning false until I passed the PGSQL_DML_EXEC option.
up
-8
Anonymous
12 years ago
it seems to fail silently if you try to insert somehting with a mis-named column
To Top