Sem
eval É necessário. Seu problema é que você não está decodificando o valor como um objeto json. CREATE OR REPLACE FUNCTION json_update(data json, key text, value json)
RETURNS json AS
$BODY$
from json import loads, dumps
if key is None: return data
js = loads(data)
# you must decode 'value' with loads too:
js[key] = loads(value)
return dumps(js)
$BODY$
LANGUAGE plpythonu VOLATILE;
postgres=# SELECT json_update('{"a":1}', 'a', '{"innerkey":"innervalue"}');
json_update
-----------------------------------
{"a": {"innerkey": "innervalue"}}
(1 row)
Não apenas isso, mas usando
eval para decodificar json é perigoso e não confiável. Não é confiável porque json não é Python, acontece de avaliar um pouco como ele na maioria das vezes. Não é seguro porque você nunca sabe o que pode estar avaliando. Nesse caso, você está amplamente protegido pelo analisador json do PostgreSQL:postgres=# SELECT json_update(
postgres(# '{"a":1}',
postgres(# 'a',
postgres(# '__import__(''shutil'').rmtree(''/glad_this_is_not_just_root'')'
postgres(# );
ERROR: invalid input syntax for type json
LINE 4: '__import__(''shutil'').rmtree(''/glad_this_is_not_...
^
DETAIL: Token "__import__" is invalid.
CONTEXT: JSON data, line 1: __import__...
... mas não ficarei surpreso se alguém puder fazer uma
eval explorar além disso. Então a lição aqui:não use eval . 
