これを機能させるために何を変更できるかについてのいくつかの提案。
1。フォームをアップロード
フォームタグはどのように見えますか? enctype
を含めることを忘れないでください 以下のパラメータ:
<form type="post" action="" enctype="multipart/form-data">
...
</form>
2。消毒
$company = mysql_real_escape_string($_POST['company']);
$location = mysql_real_escape_string($_POST['location']);
$pic = mysql_real_escape_string($_FILES['userfile']['name']);
上記の行は、クエリがSQLインジェクション攻撃を受けるのを防ぐための最初のステップです。
3。 SQLクエリ
$userfile
ファイル名を$pic
に実際に割り当てたため、存在しません 代わりに、クエリは次のようになります:
$query = "INSERT INTO user_DB
VALUES ('','$company', '$location', '$pic')";
4。 HTML出力
次に、出力テーブルのファイルにリンクします。
echo "<td>";
echo "<a href=" . $target_path . basename($row['userfile']) . ">
{$row['userfile']}</a>";
echo "</td>";