将文件保存到 varbinary(max) 字段？ [复制]

Question

我整天都在做这件事，但我似乎无法弄清楚。我们的客户希望我们将他们上传的文件保存到我们数据库 (mssql) 中的一个表中。他们可以上传什么样的文件没有限制，所以根据我所拥有的有限知识，我做了一些谷歌搜索并尝试了以下操作：

我创建了这张表：

CREATE TABLE files
  (
    id int NOT NULL PRIMARY KEY IDENTITY,
    name varchar(256),
    content varbinary(max) NOT NULL,
    type varchar(30) NOT NULL,
    size int NOT NULL
    table_id INT NOT NULL FOREIGN KEY REFERENCES myTable(id)
   );

然后我尝试添加这样的内容：

$newfileName = $_FILES['uploadfile']['name'];
$newtmpName  = $_FILES['uploadfile']['tmp_name'];
$newfileSize = $_FILES['uploadfile']['size'];
$newfileType = $_FILES['uploadfile']['type'];

//need to get the content of the file
$fp = fopen($newtmpName, 'r');
$file_content = fread($fp, filesize($newtmpName));
$file_content = $file_content;
fclose($fp);

$sql = 'INSERT INTO files ([name], [content], [type], [size], [table_id]) VALUES ("'.$newfileName.'",CAST("'.$file_content.'" AS varbinary(max)),"'.$newfileType.'","'.$newfileSize.'","'.$table_id.'")';

但它只是不起作用...我可以上传 txt 文件没问题，但其他任何东西都会破坏。我收到如下错误（每个文件都不同）：

[42000][105] [微软][SQL Server 本机客户端 10.0][SQL [服务器]后引号不加引号 字符串“����”。 [42000][102][微软][SQL Server 本机客户端 10.0][SQL 服务器]'����'附近的语法不正确。

现在我认为这是文件内容破坏 SQL 的问题，但我有 NO CLUE 如何处理它们（或如何将它们转换为不会破坏的字符串sql）。任何帮助将不胜感激，因为我对此完全迷失了。

（是的，我知道我没有保护自己免受这里的攻击，但现在我只是想让基础知识发挥作用）

Answer 1

看看：How to escape strings in SQL Server using PHP?

Answer 2

在我使用 Microsoft 的 sqlsrv-Driver 的情况下，到目前为止，最简单的方法是使用参数！这样可以避免在二进制数据中使用引号，并且它会像它一样进入数据库......

代码片段：

$sql = "INSERT INTO tablename (binaryImageField) VALUES (CAST (? AS varbinary(max)))";
$params = array($binaryImageData);
sqlsrv_query($con,$sql,$params);

Answer 3

尝试使用 fopen 的二进制标志 (b)：

$fp = fopen($newtmpName, 'rb');
$file_content = fread($fp, filesize($newtmpName));

另外，我不确定您是否应该 addslashes 您的数据。我从来没有在 PHP 中使用过 MSSQL，所以我不知道。