(PHP 4 >= 4.3.0, PHP 5, PHP 7, PHP 8)
pg_select — レコードを選択する
$connection
, string $table_name
, array $assoc_array
, int $options
= PGSQL_DML_EXEC
, int $result_type
= PGSQL_ASSOC
) : mixed
pg_select() は、field=>value
形式の assoc_array
で指定したレコードを選択します。
クエリに成功した場合、assoc_array
で指定した条件に
マッチする全てのレコードとフィールドを含む配列が返されます。
options
が指定された場合、
指定したフラグとともに pg_convert() が
assoc_array
に適用されます。
pg_update() は生の値を渡します。 値はエスケープするか、PGSQL_DML_ESCAPE オプションを指定しなければいけません。 PGSQL_DML_ESCAPE はパラメータや識別子をクォートし、エスケープします。 よって、テーブル/カラム名は大文字小文字を区別します。
エスケープやプリペアドクエリであっても、 LIKE, JSON, Array, Regex などのクエリを守れない可能性があることに注意してください。 これらのパラメータはコンテクストに応じて処理されるべきです。 たとえば、値をエスケープ/検証する処理を行うことなどです。
connection
PostgreSQL データベースの接続リソース。
table_name
行を選択するテーブルの名前。
assoc_array
テーブル table_name
のフィールド名をキーに、
そして取得対象となる行にマッチするデータを値にもつ配列。
options
PGSQL_CONV_FORCE_NULL
、
PGSQL_DML_NO_CONV
、
PGSQL_DML_ESCAPE
、
PGSQL_DML_EXEC
、
PGSQL_DML_ASYNC
あるいは
PGSQL_DML_STRING
の組み合わせ。
options
の一部に
PGSQL_DML_STRING
が含まれていた場合、
クエリ文字列が返されます。
PGSQL_DML_NO_CONV
あるいは PGSQL_DML_ESCAPE
が設定されている場合は、内部的に pg_convert() を呼びません。
成功した場合に true
を、失敗した場合に false
を返します。 options
に
PGSQL_DML_STRING
が渡された場合は文字列を返します。
例1 pg_select() の例
<?php
$db = pg_connect('dbname=foo');
// これは少しだけ安全です。なぜなら、全ての値がエスケープされるからです。
// しかし、PostgreSQL は JSON/Array をサポートしています。これらの型に
// ついてはエスケープされたクエリや、プリペアドクエリでも安全ではありません。
$rec = pg_select($db, 'post_log', $_POST);
if ($rec) {
echo "選択されたレコード:\n";
var_dump($rec);
} else {
echo "ユーザーが誤った入力を送信しました。\n";
}
?>
バージョン | 説明 |
---|---|
7.1.0 |
result_type パラメータが追加されました。
|
5.6.0 |
実験的な関数ではなくなりました。定数 PGSQL_DML_ESCAPE が追加されました。
true /false や null をサポートするようになりました。
|
5.5.3/5.4.19 |
table_name に対する SQL インジェクション、そして識別子に対する間接的な SQL インジェクションの問題を修正しました。
|