ASP.NET杜绝文件上传漏洞的代码(通过检测文件的头部编码)
2009-09-15 09:06
861 查看
检测文件的头部编码,不同类型文件的头部编码是不一样的(不知道这样说恰当不,有错误希望大家指出),比如255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rar...这篇文章代码多有参考网络,特此说明.
Code
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
public partial class _Default : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
}
protected void btn_upload_Click(object sender, EventArgs e)
{
try
{
//判断是否已经选取文件
if (FileUpload1.HasFile)
{
if (IsAllowedExtension(FileUpload1))
{
string path = Server.MapPath("~/images/");
FileUpload1.PostedFile.SaveAs(path + FileUpload1.FileName);
Response.Write("<script>alert(’上传成功’);</script>");
}
else
{
Response.Write("<script>alert(’您只能上传jpg或者gif图片’);</script>");
}
}
else
{
Response.Write("<script>alert(’你还没有选择文件’);</script>");
}
}
catch (Exception error)
{
Response.Write(error.ToString());
}
}
//真正判断文件类型的关键函数
public static bool IsAllowedExtension(FileUpload hifile)
{
System.IO.FileStream fs = new System.IO.FileStream(hifile.PostedFile.FileName, System.IO.FileMode.Open, System.IO.FileAccess.Read);
System.IO.BinaryReader r = new System.IO.BinaryReader(fs);
string fileclass = "";
byte buffer;
try
{
buffer = r.ReadByte();
fileclass = buffer.ToString();
buffer = r.ReadByte();
fileclass += buffer.ToString();
}
catch
{}
r.Close();
fs.Close();
if (fileclass == "255216" || fileclass == "7173")
//说明255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rar
{
return true;
}
else
{
return false;
}
}
}
这种方式来判断文件类型可以杜绝网站经典的上传漏洞,普通上传类判断文件后缀来判断类型。黑客很容易利用构造虚假路径的手段欺骗上传程序,而从文件的根源判断,即使文件路径为虚假,但文件的编码是不好改变
Code
using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
public partial class _Default : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
}
protected void btn_upload_Click(object sender, EventArgs e)
{
try
{
//判断是否已经选取文件
if (FileUpload1.HasFile)
{
if (IsAllowedExtension(FileUpload1))
{
string path = Server.MapPath("~/images/");
FileUpload1.PostedFile.SaveAs(path + FileUpload1.FileName);
Response.Write("<script>alert(’上传成功’);</script>");
}
else
{
Response.Write("<script>alert(’您只能上传jpg或者gif图片’);</script>");
}
}
else
{
Response.Write("<script>alert(’你还没有选择文件’);</script>");
}
}
catch (Exception error)
{
Response.Write(error.ToString());
}
}
//真正判断文件类型的关键函数
public static bool IsAllowedExtension(FileUpload hifile)
{
System.IO.FileStream fs = new System.IO.FileStream(hifile.PostedFile.FileName, System.IO.FileMode.Open, System.IO.FileAccess.Read);
System.IO.BinaryReader r = new System.IO.BinaryReader(fs);
string fileclass = "";
byte buffer;
try
{
buffer = r.ReadByte();
fileclass = buffer.ToString();
buffer = r.ReadByte();
fileclass += buffer.ToString();
}
catch
{}
r.Close();
fs.Close();
if (fileclass == "255216" || fileclass == "7173")
//说明255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rar
{
return true;
}
else
{
return false;
}
}
}
这种方式来判断文件类型可以杜绝网站经典的上传漏洞,普通上传类判断文件后缀来判断类型。黑客很容易利用构造虚假路径的手段欺骗上传程序,而从文件的根源判断,即使文件路径为虚假,但文件的编码是不好改变
相关文章推荐
- ASP.NET杜绝文件上传漏洞的代码
- asp.net上传大文件带进度条开源代码
- Asp.net-----通过Web Services上传和下载文件(2)
- asp.net网站中上传文件代码
- asp.net中通过ashx转换,把代码写入.cs文件的2种方法(Ajax中应用)
- ASP.NET(C#)实现一次性动态上传多张图片的代码(多个文件)
- Asp.net FileUpload上传文件夹并检测所有子文件的实现代码
- 如何限制asp.net中上传文件的大小的代码
- ASP.NET 多文件上传代码
- ASP.NET上传文件实例代码
- Asp.Net 音频文件上传和播放代码
- 用Html5与Asp.net MVC上传多个文件的实现代码
- Asp.net最基本的文件上传功能代码
- asp.net上传文件时检测文件类型方法小结
- asp.net通过ftp路径上传和下载文件
- asp.net实现ftp上传代码(解决大文件上传问题)
- asp.net(C#)上传下载及文件管理代码
- ASP.NET通过HTML的上传文件标签来上传文件
- ASP.NET - 多文件上传,纯代码,不使用插件