MySQL сообщает об ошибках синтаксиса при вставке изображений .png как BLOB
Я разрабатываю редактор символов внутри игры, используя PHP для связи Unity с базой данных MySQL.
После того как игроки отредактируют свои персонажи, я обновляю БД новой текстурой для символа и его уникального идентификатора. Я собираю эти параметры из Unity С# следующим образом:
string idAlumno = GameManager.Instance.usuario.Id.ToString();
string idAvatar = args.json["id"];
BinaryDataField binary = new BinaryDataField();
binary.fieldName = "imagenAvatar";
binary.contents = character.finalTexture.EncodeToPNG();
Затем я отправляю запрос с этими idAlumno, idAvatar и binary файлом в PHP, который обрабатывает взаимодействие с базой данных следующим образом:
<?php
include ('conexion.php');
$idAlumno = $_POST['idAlumno'];
$idAvatar = $_POST['idAvatar'];
$imagenAvatar = file_get_contents($_FILES['imagenAvatar']['tmp_name']);
$query = "UPDATE alumnos SET idAvatar = {$idAvatar}, imagenAvatar = {$imagenAvatar} WHERE idAlumno = {$idAlumno}";
$return = array ();
if ( !$mysqli->query($query) ) {
die("Error: {$mysqli->errno}; {$mysqli->error}; Query -> {$query}");
}
$return['id'] = $mysqli->insert_id;
echo json_encode($return);
Это сообщает:
Error: 1064; You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' ' at line 2
и запрос выглядит так:
UPDATE alumnos SET idAvatar = 69, imagenAvatar = �PNG IHDR+� IDATx�y�$�}&��u]]}��=G3�$n�(J$�X���V+i�c-��^{�v��P����6$Y)-I��(�)�$H� ��'L�=}��u���UeuvOY�U�u��Lvfe����^���{�����jA@A@A@A��0Z�y�:A@A@A@A@ "�~ �� �� �� �"h��,MA@A@A@D }@A@A@A@hD�/Y�(�� �� �� �@�� �� �� �� ��� ^�4QA@A@A@��A@A@A@A� @�di� �� �� �� ��� �� �� �@
... и кучу лишних странных линий.
Это кажется странным для меня, поскольку я пытался редактировать blob из PhpMyAdmin, и полученный запрос выглядит намного более аккуратным:
UPDATE 'alumnos' SET 'imagenAvatar' = 0x89504e470d0a1a0a0000000d4948445200000400000004[...]
Я попытался сохранить изображение, возвращенное
file_get_contents($_FILES['imagenAvatar']['tmp_name']);
и он сохраняется и отображается правильно на моем жестком диске, поэтому это заставляет меня думать, что есть какая-то проблема с тем, как я обрабатываю файл до или во время запроса, но я не могу найти, что это такое.
Текущая сортировка в моей базе данных - utf8md4_unicode_ci, хотя я уже пробовал использовать utf8 с теми же или похожими результатами.
Я также пробовал использовать addslashes(), mysqli::real_escape_string() или их комбинацию и даже использовать функции fopen() и fread() после сохранения временного файла на моем жестком диске. Все они всегда приводят к одной и той же ошибке
1 ответ
Увидеть ниже:
$idAlumno = $_POST['idAlumno']; // escape this or cast to int!
$idAvatar = $_POST['idAvatar']; // escape this or cast to int!
$imagenAvatar = file_get_contents($_FILES['imagenAvatar']['tmp_name']);
$imagenAvatar = bin2hex($imagenAvatar);
$query = "UPDATE alumnos SET idAvatar = {$idAvatar}, imagenAvatar = 0x{$imagenAvatar} WHERE idAlumno = {$idAlumno}";
Обратите внимание, что 0x добавляется к шестнадцатеричной строке.
Не связанный с вашим вопросом, но, возможно, имеющий отношение к вашему проекту, вы можете захотеть переосмыслить хранение изображений в базе данных. Возможно, вы можете сохранить их в каталоге и вместо этого сохранить путь.
Вы также можете переключиться на использование PDO или другой библиотеки DB. В любом случае, убедитесь, что каждое значение в запросе либо выведено из белого списка, либо экранировано.
-
1Это полностью пропускает проблему, и эта проблема - неэкранированные данные .
-
0Обратите внимание на комментарии в моем коде:
escape this or cast to int!, Также обратите внимание на последнее предложение в моем посте: вEither way, make sure every value in a query is either pulled from a whitelist or escaped.Также обратите внимание, что изображение экранируется путем преобразования его в гекс. Что еще я должен сделать, чтобы направить ФП на санацию его данных?
Ещё вопросы
- 0ng Cordova file_uri к base64
- 0Испытательный корпус по угловой директиве Karma не компилирует HTML
- 1Проблема прикрепления zip-файла в javamail
- 0Дочернее состояние с UI-роутером не разрешено
- 1CDF многомерного нормаля в тензорном потоке
- 0Вставьте верхние / нижние колонтитулы страницы при печати документа HTML
- 0Чтобы найти общие значения столбца sql в месяц, используя php динамически
- 0Как вывести результат $ last ngRepeat из href?
- 0Переместите DIV, чтобы выровнять его с помощью гиперссылки.
- 1Как отправлять ping-пакеты с использованием библиотеки jabber-net
- 1Как добавить '|' Трубка в каждой ячейке в конце слова в моем листе Excel с использованием Python
- 0Улучшение сцепленных запросов левого соединения в одной строке результатов
- 1Как вы создаете объект массивов в Javascript
- 0эхо UPLOADPATH. $ row ['image'] не отображает имя файла
- 0Как использовать пользовательский поиск, чтобы получить данные в HTML-файл?
- 1Странное поведение в аргументе javascript внутри глобального объекта
- 1Захват изображения с камеры. Фрагмент потерян, перейдите к предыдущему фрагменту.
- 1Дочерний элемент без корневого элемента в Java
- 1Не определено ни одного уникального компонента типа [бла]: ожидаемый единственный соответствующий компонент, но найден 2 [moreBlah]
- 0Должен ли я считать значения RGB пикселя одним значением?
- 1Проблема: Перекомпилировать с -Xlint: не проверено для деталей
- 0используя дублированные переменные JavaScript
- 0Вызов указателя на функцию-член в статической функции
- 0хочу вставить в первый раз посещаемость не обновлять
- 0SQL - вставка новой строки зависит от предыдущих данных из той же таблицы
- 0Транспортир открывает и закрывает браузер Chrome немедленно, не выполняя полный сценарий
- 1Конвертировать SQL в Entity Framework
- 0ошибка: magic.h: нет такого файла или каталога (MacOS XV 10.6.8)
- 1Что нужно установить на TFS сервер
- 0Функция триггера отображает «Глобальные события не поддерживаются и устарели»
- 1LINQ Странный вывод SQL
- 0Разбор с помощью fscanf (), игнорирующий пробелы или пропущенные значения?
- 0Числа 3, 5 и 7 не отображаются как простые
- 0Sql запрос Join / Где 3 таблицы
- 0Сортировка пользовательского связанного списка с помощью <алгоритма> сортировки
- 0Проблема с отображением подменю в Firefox
- 0Как обновить набор указателей с ++?
- 0ASP.net MVC Можете ли вы перегрузить HttpPost Index ()?
- 0Ошибка в AngularJS? Различные результаты на Chrome (43) и Firefox (38.0.5)
- 1Заполнить перфорированную форму в изображении, используя библиотеки Python?
- 1QueryDocumentSnapshot не может разрешить
- 0Левое меню исчезает с экрана
- 1Расширение mvc с двумя входами
- 0как я могу отобразить содержимое этой вкладки на основе события
- 1доступ к камере Cordova с удаленного сайта
- 0Приведение / разыменование указателей на символы в двойной массив
- 0выходная сумма рекурсивной трассировки серии
- 0Как временно отключить базу данных в phpMyAdmin
- 1написание регулярного выражения в Java для строки, присутствующей между строкой
- 1Как отключить будущие даты в calendarView [дубликаты]
mysqliвы должны использовать параметризованные запросы иbind_paramдля добавления пользовательских данных в ваш запрос. НЕ используйте интерполяцию или конкатенацию строк для достижения этой цели, поскольку вы создали серьезную ошибку внедрения SQL . НИКОГДА не помещайте$_POST,$_GETили любые пользовательские данные непосредственно в запрос, это может быть очень вредно, если кто-то попытается использовать вашу ошибку.