Per farti una idea sulla validazione MIME così come controlli di sicurezza dai uno sguardo al sorgente di http://github.com/technoweenie/attachment_fu/

Rinnovo il consiglio già espresso: lascia perdere il campo BLOB del DB ed usa il filesystem.