試圖更新MySQL數據庫（上傳文件）使用PHP腳本

Question

我想創建一個登錄系統，用戶可以在現有數據庫中上傳文件。首先要求用戶登錄然後上傳文件。這裏是我的數據庫：

現在我想更新cv（blob）。 所以我創建了以下頁面。

<!-- Form --> 

<h1>Pease Login to Upload CV</h1> 
<form method="POST" enctype="multipart/form-data"> 
    Username: 
    <input type="text" name="username"><br> 
    Password: 
    <input type="password" name="password"><br><br> 
    <input type="submit" value="Submit" name="submit" /> <br> 

</form> 

以上是最初的形式。然後我用下面的腳本：

<!-- Script --> 
<?php 
    if (isset($_POST['submit'])) { 


    // make connection 
     $conn = mysqli_connect('localhost','root','','users'); 


     // if fails show error 
     if (!$conn) { 
      die("Connection failed: " . mysqli_connect_error()); 
      echo "Error Connecting to DB"; 
     } 


     $usrName = ($_POST['username']); 
     $paswrd = ($_POST['password']); 

     if($usrName!='' && $paswrd!=''){ 

      $sql ="SELECT username, password FROM credentials WHERE username = '$usrName'"; 

      $result = mysqli_query($conn, $sql); 

      $row = mysqli_fetch_row($result); 
      $dbUsname = $row[0]; 
      $dbPassword = $row[1]; 

       if ($usrName == $dbUsname && $paswrd == $dbPassword) { 
        echo "Hello ".$usrName." upload your CV now <br>"; 

        echo 

        "<form method='POST' enctype='multipart/form-data'> 
        <input type = 'file' value= 'upload' name = 'file'> 
        <input type='submit' value='Upload' name='upload' /> <br> 
        </form>"; 



        if(isset($_POST['upload'])){ 

         $cv = mysqli_real_escape_string($conn, $_POST['file']); 

         mysql_query("UPDATE credentials SET cv=$cv WHERE username=$usrName"); 

         if (!mysqli_query($conn,$UpdateQuery)) { 
          die('Error: ' . mysqli_error($conn)); 
         } 

        } 



       } 
       else{ 
        echo "<h1>Incorrect Username and/or password!</h1>"; 
       } 
     }else{ 
      echo "Please make sure username and password is not empty"; 
     } 
    } 
?> 

我已經測試了大部分的腳本。當我嘗試更新cv文件時，會發生此問題。在下面的代碼。

該腳本執行但我看不到任何文件上傳到我的數據庫。 有人可以指出我在哪裏做錯誤。

Answer 1

首先，我們正在處理「文件」而不是「文本」輸入。

• 參考：http://php.net/manual/en/features.file-upload.post-method.php

因此，這部分代碼的$_POST['file']，需要改變以$_FILES['file']

但是你的代碼，這部分

mysql_query("UPDATE credentials SET cv=$cv WHERE username=$usrName"); 

多數民衆贊成沒有你2個原因。

你在混合APIs，你需要引用字符串值，技術上需要閱讀：（請參閱旁邊的代碼行）。

旁註：mysqli_query如果您要使用您正在使用的條件語句if (!mysqli_query($conn,$UpdateQuery))，則不應包含（僅在下面）。

mysqli_query($conn, "UPDATE credentials SET cv='$cv' WHERE username='$usrName'"); 

• 不同的MySQL的API /功能不混用。

您需要使用同一個連接才能查詢。

然而看到這雖然，

if (!mysqli_query($conn,$UpdateQuery)) { 
    die('Error: ' . mysqli_error($conn)); 
} 

你可能忘記了$UpdateQuery變量添加到您的查詢，這應該理解爲

$UpdateQuery = "UPDATE credentials SET cv=`$cv` WHERE username='$usrName'"; 

錯誤報告會扔你一個未定義的變量UpdateQuery通知。

• 參考：http://php.net/manual/en/function.error-reporting.php

旁註：確保文件的大小是允許的。如果它太大，那麼你將需要增加它的值。

請教關於堆棧以下職位：

• PHP change the maximum upload file size

---

重寫：

$cv = mysqli_real_escape_string($conn, $_FILES['file']); 

    $UpdateQuery = "UPDATE credentials SET cv='$cv' WHERE username='$usrName'"; 

    // or using '".XXX."' syntax. In rare cares, that makes a difference. 
    // $UpdateQuery = "UPDATE credentials SET cv='".$cv."' WHERE username='".$usrName."'"; 

    if (!mysqli_query($conn,$UpdateQuery)) { 
     die('Error: ' . mysqli_error($conn)); 
    } 

    else{ 
     echo "Success!"; 
     } 

---

你也開到一個SQL注入。最好使用準備好的聲明。

• https://en.wikipedia.org/wiki/Prepared_statement

參考的BLOB和TEXT類型：

• https://dev.mysql.com/doc/refman/5.7/en/blob.html

---

密碼

我還注意到，您可能以純文本格式存儲密碼。這不被推薦。下面的

用途之一：

• CRYPT_BLOWFISH
• crypt()
• bcrypt()
• scrypt()
• On OPENWALL
• PBKDF2
• PBKDF2 on PHP.net
• PHP 5.5的password_hash()函數。
• 兼容包（如PHP < 5.5）https://github.com/ircmaxell/password_compat/

其他鏈接：

• PBKDF2 For PHP

Answer 2

在您發佈上傳表單更新查詢將無法運行，因爲它藏在裏面if(isset($_POST['submit']))。您需要移除if(isset($_POST['upload']))才能提交工作。