Ошибка mysql при вставке изображения в базу данных mysql

Question

Я работаю над веб-сайтом, и моя задача - взять изображение продукта у пользователя и сохранить это изображение в базе данных. Я использую базу данных mysql. Мой код HTML формы как: -

 <FORM action="testimage1.php" ENCTYPE="multipart/form-data" method="post"> 
       <div style="font:bold 10px arial,serif;" >Product Name*</div> 
       <input type="text" name="myuserName" maxlength="50" /><br /> 
      <div style="font:bold 10px arial,serif;" >Upload a photo</div> 
       <input name="uploadimage" type="file" /></br> 
       <div style="font:bold 10px arial,serif;">Product Description:</div> 
       <input type="text" name="product" value=""></br> 
       <input id="submit" type="submit" value="submit" /><br /> 
    </FORM> 

Мой код testimage1.php как: -

  require_once("dbconnect.inc.php");      
    $db_name="thinstrokes";          //for localhost databasename 
    $tbl_name="product"; 
    $db_selected=mysql_select_db("$db_name")or die("cannot select DB"); 

    $myusername=$_POST['myusername']; 
    $mypassword=$_POST['product']; 
    $filename=$_FILES['uploadimage']['tmp_name']; 
    $imgData = file_get_contents($filename); 
    $size = getimagesize($filename); 
    $sql = "INSERT INTO product 
    (productname, image_id , image_type ,image, image_size, image_name, productdesc)VALUES 
    ('$myusername','11', '{$size['mime']}', '{$imgData}', '{$size[3]}', 
    '{$_FILES['userfile']['name']}','$productdesc')"; 
    $result=mysql_query($sql) or die("error in uploading/*"); 

и я получаю сообщение об ошибке, как: -ошибка в загрузке/* как могу я исправить?

Answer 1

попробовать изменить это:

$sql = "INSERT INTO product 
(productname, image_id , image_type ,image, image_size, image_name, productdesc)VALUES 
('$myusername','11', '{$size['mime']}', '{$imgData}', '{$size[3]}', 
'{$_FILES['userfile']['name']}','$productdesc')"; 

с этим :

$size_mime = mysql_real_escape_string($size['mime']); 
$size3 = mysql_real_escape_string($size[3]); 
$filename = mysql_real_escape_string($_FILES['userfile']['name']); 
$sql = "INSERT INTO product 
(productname, image_id , image_type ,image, image_size, image_name, productdesc) VALUES 
('{$myusername}','11', '{$size_mime}', '{$imgData}', '{$size3}', 
'{$filename}','$productdesc')"; 

и редактировать это:

$myusername=$_POST['myusername']; 
$mypassword=$_POST['product']; 
$filename=$_FILES['uploadimage']['tmp_name']; 

с этим:

$myusername = mysql_real_escape_string($_POST['myusername']); 
$mypassword = mysql_real_escape_string($_POST['product']); 
$filedata = mysql_real_escape_string($_FILES['uploadimage']['tmp_name']); 

вы должны абсолютно избежать SQL-инъекции!

Answer 2

Вам нужно бежать $imgData и все остальное с mysql_real_escape_string, прежде чем положить его в запрос.

Answer 3

Необходимо использовать переменные bound. Сначала вы широко открыты к атакам SQL injection.

Пусть кто-то обработал имя файла \';DROP product; и загрузил его ...

Это, как говорится, встраивание двоичные данные в запрос просто не будет работать 99% времени.

Для связанных параметров ваш запрос становится примерно таким, и вы вызываете bind_parm для привязки данных к каждому.

$sql = "INSERT INTO product (productname, image_id , image_type ,image, image_size, image_name, productdesc) VALUES (?,?,?,?,?,?,?)"; 

Answer 4

Сначала я думаю, что вы не должны загружать изображения непосредственно в Mysql. Вместо этого используйте каталог и поместите все там. Так что с тем, что попробовать что-то вроде этого:

//target to the path of my files 
$target_path = "uploads/product_images/"; 
if(!is_dir($target_path)) mkdir($target_path); 
$uploadfile = $target_path . basename($_FILES['userfile']['name']); 

//Move the uploaded file to $taget_path 
(move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)); 

Тогда вы можете получить на загруженный файл, используя следующие:

echo "<a href=" . $target_path . basename($row['userfile']) . "> 
    {$row['userfile']}</a>";