Почему MySQL не правильно сохраняет файл?

Question

[Алексей Денисов]

Скажите почему MySQL не правильно сохраняет файл в Базу Данных?
Проверяется Переменная color в массиве POST, если color == 'red' , то вызывается подпрограмма linux, и возвращается ответ (100 байт), этот файл Правильный (var_dump показывает верные значения, даже сохраняю в файл на диске и потом проверяю - все отлично)
Но в Базу записывается на Один байт меньше (из середины примерно вырезан 1 байт).
Если этот же файл (который был сохранен на диске) отправляю отдельно в Web форме, то в базу он записывается Верно, через код в секции else

if($_POST["color"] == "red"){   // если color == red,  генерирую файл с помощью подпрограммы
			exec( 'include/getColor'.'  '."red",  $output);  // вызываю подпрограмму, Результат в $output
			var_dump($output);     //вывод правильный
			$color = hex2bin($output[0]);  //  преобразую в HEX байты
			var_dump($color);      //вывод правильный
			file_put_contents("red",$color);    // Сохраненный файл Правильный
		}
     // иначе принимаю файл через браузер в переменную color	
   else{
       $color = addslashes(file_get_contents($_FILES['userfile']['tmp_name']));
          }

// записываю данные в таблицу
$insertQuery = "INSERT INTO ".$this->table." (username, colour) 
			VALUES (
			'".$_POST["username"]."',
			'".$color."'	
			)";

Comments

[Akina]

$value = "' '''"; // 5 символов - кавычка, пробел, три кавычки
$sql = "SELECT '". $value ."' AS output;";

Будет выполнен запрос из переменной $sql, т.е.

SELECT '' '''' AS output;

Подумай, что вернётся от MySQL? какое значение в поле output? сколько символов?

[Алексей Денисов]

Не могу понять, это вы к чему,
К SQL injection ?

Answer 1

[Dimonchik]

один байт - один символ

перевод строки вырезается?

Comments

[Алексей Денисов]

Точно, похоже вы Чертовски правы
Удаляется Обратный Слеш.

И получается что через else используется функция addslashes(), а в if она отсутствует, и видимо Mysql удаляет этот символ.

Спасибо вам огромное что навели на мысль, через пару часов проверю.

[Rsa97]

Алексей Денисов, Перепишите на подготовленные выражения. Тогда и слэши с кавычками ничего портить не будут, и дыру в безопасности закроете.

[Алексей Денисов]

Да, теперь работает как хотел.

Но придется переписывать, так как опасный код, подвержен SQL Injection.

[Алексей Денисов]

Rsa97, да согласен с вами, надо переписывать (сначала почитать подробнее)
Спасибо.

Answer 2

[Daemon23RUS]

if($_POST["color"] == "red"){   // если color == red,  генерирую файл с помощью подпрограммы
      exec( 'include/getColor'.'  '."red",  $output);  // вызываю подпрограмму, Результат в $output
      var_dump($output);     //вывод правильный
      $color = hex2bin($output[0]);  //  преобразую в HEX байты
      var_dump($color);      //вывод правильный
      file_put_contents("red",$color);    // Сохраненный файл Правильный
    }
     // иначе принимаю файл через браузер в переменную color	
   else{
       $color = file_get_contents($_FILES['userfile']['tmp_name']);
          }

// записываю данные в таблицу
$sql_color=addslashes($color);
$insertQuery = "INSERT INTO ".$this->table." (username, colour) 
      VALUES (
      '".$_POST["username"]."',
      '".$sql_color."'	
      )";

А вообще ... VALUES ( '".$_POST["username"]."', .... Жуткое зло, за такое бьют по рукам. И желающих стукнуть предостаточно (SQL инъекция)

Comments

[Алексей Денисов]

Спасибо, да согласен с вами что ЗЛО.
Писал давно, по примерам из сети,
И никакой проеврки нет.

Сейчас вот понадобилось добавить одну функцию, наверное хорошо что написал сюда.
Получил как говорится Люлей,
Надо действительно переходить на PDO.

[Daemon23RUS]

Алексей Денисов, Часть ответа съелась, коммент к коду: Я поправил Ваш, проверьте сработало или нет.

[Daemon23RUS]

Алексей Денисов,

Надо действительно переходить на PDO.

на PDO кстати, у вас бы этой проблемы не возникло со съеданием части информации.

[Алексей Денисов]

Daemon23RUS, да, спасибо.

[Vitsliputsli]

PDO и prepared statements - это разные вещи. Для защиты от инъекций и чтобы "не съедалась" информация помогут prepared statements. Будете ли вы при этом использовать PDO или mysqli без разницы.