Необходимо ли использовать mysql_real_escape_string () для изображения в mysql?

Question

Например:

    $data = file_get_contents($_FILES['image']['tmp_name']);
    $data = mysql_real_escape_string($data);
    mysql_query("INSERT INTO table set image='$data'....

Это правильный способ придерживаться?

Answer 1

Вы можете сделать base64_encode, чтобы сохранить целостность ваших данных и убедиться, что у вас не будет проблем с символами любого рода, на самом деле это очень распространенный способ хранения и передачи данных. И чтобы вернуть его, используйте base64_decode.

Answer 2

Я бы порекомендовал сохранить его, если нет причины удалить его, так как это хороший способ предотвратить инъекцию sql. Смотрите здесь: http://php.net/manual/en/function.mysql-real-escape-string.php.

Вероятно, можно выполнить инъекцию sql через изображение, которое пользователь мог загрузить или клиент мог случайно использовать.

Причиной неиспользования может быть производительность. Я бы рекомендовал безопасность по сравнению с производительностью.