l'upload lo farei su file system e nel db metterei solo il nome del file caricato, stessa cosa per le immagini
il mime certo puoi controllarlo