Ich würde nicht direkt in die DB schreiben.

Anfällig ist das natürlich für eine SQL-Injection.
Da du ja anscheinend mehrere Dateitypen akzeptieren musst, die zudem noch jeden Inhalt enthalten könnnen, hast kaum eine Chance, den Inhalt dieser Dateien auf Validität zu überprüfen. Dadurch kann man eigentlich x-beliebeigen Code an die Datenbank durchgeben.

Ich würde eine Referenz auf die Datei in der DB speichern, nachdem du sie verschoben hast.

Und immer schön merken: All input is evil :)

Gruß