试图更新MySQL数据库（上传文件）使用PHP脚本

Question

我想创建一个登录系统，用户可以在现有数据库中上传文件。首先要求用户登录然后上传文件。这里是我的数据库：

现在我想更新cv（blob）。 所以我创建了以下页面。

<!-- Form --> 

<h1>Pease Login to Upload CV</h1> 
<form method="POST" enctype="multipart/form-data"> 
    Username: 
    <input type="text" name="username"><br> 
    Password: 
    <input type="password" name="password"><br><br> 
    <input type="submit" value="Submit" name="submit" /> <br> 

</form> 

以上是最初的形式。然后我用下面的脚本：

<!-- Script --> 
<?php 
    if (isset($_POST['submit'])) { 


    // make connection 
     $conn = mysqli_connect('localhost','root','','users'); 


     // if fails show error 
     if (!$conn) { 
      die("Connection failed: " . mysqli_connect_error()); 
      echo "Error Connecting to DB"; 
     } 


     $usrName = ($_POST['username']); 
     $paswrd = ($_POST['password']); 

     if($usrName!='' && $paswrd!=''){ 

      $sql ="SELECT username, password FROM credentials WHERE username = '$usrName'"; 

      $result = mysqli_query($conn, $sql); 

      $row = mysqli_fetch_row($result); 
      $dbUsname = $row[0]; 
      $dbPassword = $row[1]; 

       if ($usrName == $dbUsname && $paswrd == $dbPassword) { 
        echo "Hello ".$usrName." upload your CV now <br>"; 

        echo 

        "<form method='POST' enctype='multipart/form-data'> 
        <input type = 'file' value= 'upload' name = 'file'> 
        <input type='submit' value='Upload' name='upload' /> <br> 
        </form>"; 



        if(isset($_POST['upload'])){ 

         $cv = mysqli_real_escape_string($conn, $_POST['file']); 

         mysql_query("UPDATE credentials SET cv=$cv WHERE username=$usrName"); 

         if (!mysqli_query($conn,$UpdateQuery)) { 
          die('Error: ' . mysqli_error($conn)); 
         } 

        } 



       } 
       else{ 
        echo "<h1>Incorrect Username and/or password!</h1>"; 
       } 
     }else{ 
      echo "Please make sure username and password is not empty"; 
     } 
    } 
?> 

我已经测试了大部分的脚本。当我尝试更新cv文件时，会发生此问题。在下面的代码。

该脚本执行但我看不到任何文件上传到我的数据库。 有人可以指出我在哪里做错误。

Answer 1

首先，我们正在处理“文件”而不是“文本”输入。

• 参考：http://php.net/manual/en/features.file-upload.post-method.php

因此，这部分代码的$_POST['file']，需要改变以$_FILES['file']

但是你的代码，这部分

mysql_query("UPDATE credentials SET cv=$cv WHERE username=$usrName"); 

多数民众赞成没有你2个原因。

你在混合APIs，你需要引用字符串值，技术上需要阅读：（请参阅旁边的代码行）。

旁注：mysqli_query如果您要使用您正在使用的条件语句if (!mysqli_query($conn,$UpdateQuery))，则不应包含（仅在下面）。

mysqli_query($conn, "UPDATE credentials SET cv='$cv' WHERE username='$usrName'"); 

• 不同的MySQL的API /功能不混用。

您需要使用同一个连接才能查询。

然而看到这虽然，

if (!mysqli_query($conn,$UpdateQuery)) { 
    die('Error: ' . mysqli_error($conn)); 
} 

你可能忘记了$UpdateQuery变量添加到您的查询，这应该理解为

$UpdateQuery = "UPDATE credentials SET cv=`$cv` WHERE username='$usrName'"; 

错误报告会扔你一个未定义的变量UpdateQuery通知。

• 参考：http://php.net/manual/en/function.error-reporting.php

旁注：确保文件的大小是允许的。如果它太大，那么你将需要增加它的值。

请教关于堆栈以下职位：

• PHP change the maximum upload file size

---

重写：

$cv = mysqli_real_escape_string($conn, $_FILES['file']); 

    $UpdateQuery = "UPDATE credentials SET cv='$cv' WHERE username='$usrName'"; 

    // or using '".XXX."' syntax. In rare cares, that makes a difference. 
    // $UpdateQuery = "UPDATE credentials SET cv='".$cv."' WHERE username='".$usrName."'"; 

    if (!mysqli_query($conn,$UpdateQuery)) { 
     die('Error: ' . mysqli_error($conn)); 
    } 

    else{ 
     echo "Success!"; 
     } 

---

你也开到一个SQL注入。最好使用准备好的声明。

• https://en.wikipedia.org/wiki/Prepared_statement

参考的BLOB和TEXT类型：

• https://dev.mysql.com/doc/refman/5.7/en/blob.html

---

密码

我还注意到，您可能以纯文本格式存储密码。这不被推荐。下面的

用途之一：

• CRYPT_BLOWFISH
• crypt()
• bcrypt()
• scrypt()
• On OPENWALL
• PBKDF2
• PBKDF2 on PHP.net
• PHP 5.5的password_hash()函数。
• 兼容包（如PHP < 5.5）https://github.com/ircmaxell/password_compat/

其他链接：

• PBKDF2 For PHP

Answer 2

在您发布上传表单更新查询将无法运行，因为它藏在里面if(isset($_POST['submit']))。您需要移除if(isset($_POST['upload']))才能提交工作。