文件上传

最新推荐文章于 2024-10-02 11:29:37 发布
最新推荐文章于 2024-10-02 11:29:37 发布
阅读量539 收藏
点赞数
分类专栏: c#编程
本文详细介绍了三种方法用于文件上传的安全检查与判断,包括直接检查文件后缀、检查文件MIME内容类型以及真正意义上判断文件类型。通过实现这些方法,可以有效防止非法文件上传,确保网站或应用的安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、 安全性比较低,把文本文件1.txt改成1.jpg照样可以上传,但其实现方法容易理解,实现也简单,所以网上很多还是采取这种方法。

Boolean fileOk = false; 
          string path = Server.MapPath("~/images/"); 
          //判断是否已经选取文件 
          if (FileUpload1.HasFile) 
          { 
              //取得文件的扩展名,并转换成小写 
              string fileExtension = System.IO.Path.GetExtension(FileUpload1.FileName).ToLower(); 
              //限定只能上传jpg和gif图片 
              string[] allowExtension = { ".jpg", ".gif" }; 
              //对上传的文件的类型进行一个个匹对 
              int j = 0; 
              for (int i = 0; i < allowExtension.Length; i++) 
              { 
                  if (fileExtension == allowExtension) 
                  { 
                      fileOk = true; 
                      return; 
                  } 
                  else 
                  { 
                      j++; 
                  } 
              } 
              if (j > 0) 
              { 
                  Response.Write("<script>alert('文件格式不正确');</script>"); 
                  return; 
              } 
          } 
          else 
          { 
              Response.Write("<script>alert('你还没有选择文件');</script>"); 
              return; 
          } 
          //如果扩展名符合条件,则上传 
          if (fileOk) 
          { 
              FileUpload1.PostedFile.SaveAs(path + FileUpload1.FileName); 
              Response.Write("<script>alert('上传成功');</script>"); 
          } 
二、不检测文件后缀而是检测文件MIME内容类型。

Boolean fileOk = false; 
           string path = Server.MapPath("~/images/"); 
           //判断是否已经选取文件 
           if (FileUpload1.HasFile) 
           { 
               //取得文件MIME内容类型 
               string type = this.FileUpload1.PostedFile.ContentType.ToLower(); 
               if (type.Contains("image"))    //图片的MIME类型为"image/xxx",这里只判断是否图片。 
               { 
                   fileOk = true; 
  
               } 
               else 
               { 
                   Response.Write("<script>alert('格式不正确')</script>"); 
               } 
           } 
           else 
           { 
               Response.Write("<script>alert('你还没有选择文件');</script>"); 
           } 
           //如果扩展名符合条件,则上传 
           if (fileOk) 
           { 
               FileUpload1.PostedFile.SaveAs(path + FileUpload1.FileName); 
               Response.Write("<script>alert('上传成功');</script>"); 
           } 
三、可以实现真正意义上的文件类型判断

try 
            { 
                //判断是否已经选取文件 
                if (FileUpload1.HasFile) 
                { 
                    if (IsAllowedExtension(FileUpload1)) 
                    { 
                        string path = Server.MapPath("~/images/"); 
                        FileUpload1.PostedFile.SaveAs(path + FileUpload1.FileName); 
                        Response.Write("<script>alert('上传成功');</script>"); 
                    } 
                    else 
                    { 
                        Response.Write("<script>alert('您只能上传jpg或者gif图片');</script>"); 
                    } 
  
                } 
                else 
                { 
                    Response.Write("<script>alert('你还没有选择文件');</script>"); 
                } 
            } 
            catch (Exception error) 
            { 
                Response.Write(error.ToString()); 
            } 
            #endregion 
        } 
//真正判断文件类型的关键函数 
        public static bool IsAllowedExtension(FileUpload hifile) 
        { 
            System.IO.FileStream fs = new System.IO.FileStream(hifile.PostedFile.FileName, System.IO.FileMode.Open, System.IO.FileAccess.Read); 
            System.IO.BinaryReader r = new System.IO.BinaryReader(fs); 
            string fileclass = ""; 
            //这里的位长要具体判断. 
            byte buffer; 
            try 
            { 
                buffer = r.ReadByte(); 
                fileclass = buffer.ToString(); 
                buffer = r.ReadByte(); 
                fileclass += buffer.ToString(); 
  
            } 
            catch 
            { 
  
            } 
            r.Close(); 
            fs.Close(); 
            if (fileclass == "255216" || fileclass == "7173")//说明255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rar 
            { 
                return true; 
            } 
            else 
            { 
                return false; 
            } 
  
        } 
原文链接:http://www.admin10000.com/document/1862.html

vue3 - 实现大文件分片上传+断点续传+进度条+秒传+可暂停继续功能,vue3中实现分片大文件上传 切片上传axios大文件支持单个/批量同时上传到服务器(大文件切片上传实现秒传+详细示例源码)
高级前端工程师
04-13 1万+
vue3超大文件批量同时上传且带进度条,VUE3大文件分片切片上传到服务器,Axios大文件上传到后端,可暂停上传点击后继续传,文件分块,上传进度条,Vue3大文件上传和断点续传,vue3中实现分片大文件上传,前端切片上传文件可暂停,大文件分片上传,暂停续传,vue实现文件分片上传,支持文件分块上传,解决前端超大文件无法上传问题,能够在上传过程中暂停、继续上传的组件,Vue3项目中大文件切片上传实现秒传、断点续传的详细实现教程,vue3+axios,node后端,上传大文件报错,cors跨域报错,上传失败,
三层架构实现文件上传和下载1(dao,service)
学习要虚心,多读书
11-22 520
在写程序前写好文档: readme.txt   1.准备开发环境 1.1导入开发包 mysql驱动 c3po连接池 dbutils fileupload组件: 1)io包 beanutils开发包: log4j开发包 jstl开发 1.2创建组织程序的开发包 com.du.dao.impl com.du.servi...
文件上传漏洞2
nigo134的博客
03-22 6803
检查后缀型上传漏洞>客户端js检查 漏洞原理 有些系统只是在客户端使用js对上传文件的后缀进行检查,服务端没有进行检查。由于客户端的js用户可以禁用,修改等等,导 致可以绕过客户端的检测,上传不合法文件。漏洞利用 1.将js禁用 2.修改客户端的js 3.上传合法后缀,使用burp抓包,再改后缀。 检查后缀型上传漏洞>服务端MIME检查 漏洞原理 有些系统只是在客户端使用js对上传文件的后缀进行检查,服务端没有进行检查。由于客户端的js用户可以禁用,修改等等,导致可以绕过客户端的检测,上传
文件上传漏洞详解
热门推荐
剁椒鱼头没剁椒的博客
11-28 2万+
文件上传漏洞是web系统中常见的一种功能,通过文件上传能实现上传图片、视频,以及其他类型的文件,但是随着web中包含的功能越来越多,潜在的网络安全风险也就越大。如果恶意用户上传了可执行的文件或者脚本,就会导致网站被其控制甚至会使其服务器沦陷,以至于引发恶意的网络安全事件。编辑器也就是在线的web编辑器,比如在搭建博客后需要发布文章,那么用来发布文章的界面就是web编辑器。
Java中实现文件上传
Hanshy123的博客
08-02 3967
1. springmvc的文件上传: 1.第一种文件上传到本地服务器下。 2.第二种文件上传到oss服务器上。[阿里云] 2. 第一种的缺陷:集群项目无法共享本地上传后的文件 3. 文件上传的步骤: 1.引入commons-fileupload依赖 oss依赖 2.配置文件上传解析器.CommonsMultipartResolver. 3.创建文件上传的表单: 提交方式。 entype编码: 4.编写代码;
Web安全 - 文件上传漏洞(File Upload Vulnerability)
小工匠
10-02 6473
文件上传漏洞是指Web应用允许用户上传文件,但没有对上传文件进行充分的验证和限制,导致攻击者可以上传恶意文件,如脚本、恶意代码等,进一步执行恶意操作。这种漏洞常见于文件管理、头像上传或文档管理等功能中。路径穿越结合文件上传:绕过文件上传目录限制,访问或执行敏感位置的文件。远程代码执行(RCE)结合文件上传:通过上传并执行恶意文件实现远程控制。跨站脚本(XSS)结合文件上传:通过文件传播恶意脚本,跨站点执行攻击。跨站请求伪造(CSRF)结合文件上传:在不知情的情况下诱使用户上传恶意文件。
文件上传漏洞小总结
whoim_i的博客
10-28 3824
一、什么是文件上传漏洞 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 造成文件上传漏洞...
文件上传漏洞
qq_50673174的博客
05-13 2899
文件上传漏洞,文件下载漏洞的一些简单介绍及防范
SpringMVC文件上传,多文件上传实例
03-01
在这个“SpringMVC文件上传,多文件上传实例”中,我们将深入探讨如何在SpringMVC环境中实现文件上传功能,包括单个文件上传以及多个文件的批量上传。 1. **文件上传原理**: 文件上传是通过HTTP协议的POST请求来...
easyUI文件上传
07-10
EasyUI文件上传功能是网页应用中常见的需求,它允许用户方便地将本地文件上传到服务器。EasyUI是一个基于jQuery的用户界面插件集合,提供了多种组件,如表格、树形菜单、对话框等,用于快速构建美观且功能丰富的Web...
javaweb简单实现文件上传与下载源代码
09-18
在JavaWeb开发中,文件上传和下载是常见的功能需求,特别是在构建交互性强的Web应用时。本源代码示例提供了一个简单的实现,帮助开发者理解如何处理这些操作。下面将详细解释涉及的技术点。 1. **文件上传** - **...
PHP操作文件上传
Demo不是emo的博客
09-16 5892
这些上传文件的操作用php也可以实现(很多就是用的php),而且php的文件上传操作时每个程序员都要会的,通过本章学习,你将看到文件上传的本质
Java文件上传实例并解决跨域问题
小小张自由—>张有博
09-04 1万+
本文内容为Java文件上传实例并解决跨域问题,其中重点讲解了文件上传,MultipartFile接口的使用,配置nginx,以及解决文件上传跨域的问题
uploadify 实现文件上传
CoderZS的博客
12-28 1万+
uploadify官网我们需要到官网上下载需要的插件引入到项目中,同时我们最好看看uploadify的中文文档,当然直接把下面的代码复制作为一个工具类也行,反正都是大同小异. 如何实现图片上传功能? 在实际应用中我们会经常遇到实名认证的功能需要上传正反面照片或者上传文件之类的,如下图 ######首先简单介绍一下uploadify原理 了解: 以**.swf结尾的就是flash文件或者程序,它...
工具变量-5G示范城市DID(2014-2025).xlsx
最新发布
07-31
详细介绍及样例数据:https://blog.youkuaiyun.com/T0620514/article/details/149811741
langchain4j-web-search-engine-searchapi-0.34.0.jar中文文档.zip
07-31
1、压缩文件中包含: 中文文档、jar包下载地址、Maven依赖、Gradle依赖、源代码下载地址。 2、使用方法: 解压最外层zip,再解压其中的zip包,双击 【index.html】 文件,即可用浏览器打开、进行查看。 3、特殊说明: (1)本文档为人性化翻译,精心制作,请放心使用; (2)只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; (3)不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 4、温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件。 5、本文件关键字: jar中文文档.zip,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册。
uniapp移动端文件上传功能实现详解
1. **接收文件**: 后端服务需要使用支持文件上传的框架或库来处理文件上传请求。 2. **保存文件**: 在接收到文件后,后端需要将文件保存在服务器上,这通常涉及到一些文件命名规则的制定,以避免文件名冲突。 3. *...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值