Hallo me-too,

ganz schlechte Idee, Image-Files direkt und dann auch noch ungeprüft in der DB speichern zu wollen.

Eine Bilder-Hinzufügen-Funktion konnte ich nicht finden. Das SQL-Statement ist für das Einfügen der initial vorhandenen Werte bestimmt.

Außerdem sind das Binary-Data.

Nein, das sind Dateipfade, also Strings.

Alle Insert-Data mittels SQL-Textschnittstelle mit Richtung API->DB unterliegen außerdem einem Kontextwechsel und müssen daher vorbehandelt (escaped) erden.

Das SQL-Statement hängt nicht von Variablen ab, insofern ist da alles in Ordnung.

Dass der Code in dem Projekt selbst beim Kontextwechsel (fehlendes htmlspecialchars() bei der Ausgabe von Werten im HTML und fehlende Behandlung des Tabellennamens schludert, ist eine andere Geschichte.

Gruß
Julius