主要是为了防止对于服务器上传马。
网上流传两种一种为后缀名判断,这个没有办法对防止将也改后缀上传。后一种为取contentType为判断,本人于本地测试,将某ASP文件后缀改为JPG文件后竟然将其contentType判断为“image/jpeg”前台代码为
<asp:FileUpload ID="FileUpload1" runat="server" />
<asp:Button ID="Button1" runat="server" onclick="Button1_Click" Text="Button" />
后台代码为protected void Button1_Click(object sender, EventArgs e)
{
Response.Write(FileUpload1.PostedFile.ContentType);
}请求一下,有没有其他的确认上传文件类型的方式
网上流传两种一种为后缀名判断,这个没有办法对防止将也改后缀上传。后一种为取contentType为判断,本人于本地测试,将某ASP文件后缀改为JPG文件后竟然将其contentType判断为“image/jpeg”前台代码为
<asp:FileUpload ID="FileUpload1" runat="server" />
<asp:Button ID="Button1" runat="server" onclick="Button1_Click" Text="Button" />
后台代码为protected void Button1_Click(object sender, EventArgs e)
{
Response.Write(FileUpload1.PostedFile.ContentType);
}请求一下,有没有其他的确认上传文件类型的方式
不如:引用 3 楼 vrhero 的回复:
有是有,不过只能探测已知文件类型也没必要在这种地方浪费资源... 不如对服务器配置完善的安全策略,如严格地权限限制、安装反病毒/反木马等等...
完善系统安全控制
using System;
using System.Collections.Generic;
using System.Web.UI.WebControls;
using System.IO;
namespace 0x001.Pack
{
public enum FileExtension
{
JPG = 255216,
GIF = 7173,
BMP = 6677,
PNG = 13780
// 255216 jpg;
// 7173 gif;
// 6677 bmp,
// 13780 png;
// 7790 exe dll,
// 8297 rar
// 6063 xml
// 6033 html
// 239187 aspx
// 117115 cs
// 119105 js
// 210187 txt
//255254 sql
}
public class FileValidation
{
static bool IsAllowedExtension() static bool IsAllowedExtension(FileUpload fu, FileExtension[] fileEx)
{
int fileLen = fu.PostedFile.ContentLength;
byte[] imgArray = new byte[fileLen];
fu.PostedFile.InputStream.Read(imgArray, 0, fileLen);
MemoryStream ms = new MemoryStream(imgArray);
System.IO.BinaryReader br = new System.IO.BinaryReader(ms);
string fileclass = "";
byte buffer;
try
{
buffer = br.ReadByte();
fileclass = buffer.ToString();
buffer = br.ReadByte();
fileclass += buffer.ToString();
}
catch
{
}
br.Close();
ms.Close();
foreach (FileExtension fe in fileEx)
{
if (Int32.Parse(fileclass) == (int)fe)
return true;
}
return false;
}
}
}
上传事件判断上传类型
void btnUpload_Click() void btnUpload_Click(object sender, EventArgs e)
{
string filename = "";
Boolean fileOK = false;
if (FileUpload1.HasFile)
{
String fileExtension = System.IO.Path.GetExtension(FileUpload1.FileName).ToLower();
String[] allowedExtensions = { ".gif", ".png", ".jpeg", ".jpg" };
for (int i = 0; i < allowedExtensions.Length; i++)
{
if (fileExtension == allowedExtensions)
{
fileOK = true;
}
}
}
FileExtension[] fe = { FileExtension.BMP, FileExtension.GIF, FileExtension.JPG, FileExtension.PNG };
if (fileOK && FileValidation.IsAllowedExtension(FileUpload1, fe))
{
string fileExt = System.IO.Path.GetExtension(FileUpload1.FileName).ToLower();
filename = "/Images/" + DateTime.Now.ToString("yyyyMMddHHmmss") + fileExt;
FileUpload1.PostedFile.SaveAs(Server.MapPath(filename));
}
else
{
LTP.Common.MessageBox.Show(this, "只支持以下格式的图片\\rJPG,BMP,GIF,PNG");
return;
}
}
以上方法测试通过,并在项目中应用!是目前最安全的防止上传非法文件的方法!