文件的上传和下载以及如何防止网站被入侵（web开发中很有用的知识）

文件上传：允许客户将本地文件，上传到服务器端

应用：上传照片、上传新闻图片、上传附件

一、文件上传编程

1、在用户页面中添加上传输入项 （客户端页面操作）

<input type="file" />

注意事项：

1) 必须为文件上传input 提供name属性，否则文件上传内容不会被表单提交

2) 表单的提交是post （get提交数据在url地址上显示，有长度限制）

3) 设置enctype=multipart 使得文件上传编码 ----- MIME编码格式

2、在服务器端编写文件上传程序

通过request.getInputStream分析文件上传原理

常用文件上传API ：

1) JSP独立开发年代 jsp-smartupload ---- JSP Model1

jspSmartUpload是一个可免费使用的全功能的文件上传下载组件，适于嵌入执行上传下载操作的JSP文件中。

2) JSP+Servlet 开发web应用 Apache commons-fileupload ---- JSP Model2

FileUpload 是 Apache commons下面的一个子项目，用来实现Java环境下面的文件上传功能，与常见的SmartUpload齐名。

3) Servlet3.0规范中提供对文件上传的支持

Apache commons-fileupload 使用

1) 去 http://commons.apache.org/fileupload/ 下载fileupload jar包

同时下载 commons-fileupload 和 commons-io 两个包 -------- fileupload依赖io包

2) 将jar包导入 web 工程WEB-INF/lib下

3) 编程实现

步骤一：获得DiskFileItemFactory 文件项工厂

步骤二：通过工厂 获得文件上传请求核心解析类 ServletFileUpload

步骤三：使用ServletFileUpload对request进行解析 ---- 获得很多个FileItem

步骤四：对每个FileItem进行操作 判断FileItem是不是普通字段 isFormField

代表普通字段FileItem

getFieldName(); ---- 获得表单项name属性

getString(); ----- 获得表单项value

代表文件上传FileItem

getInputStream() --- 获得文件内容输入流

getName() ------ 获得上传文件名称

============================================================================================================================

问题：早期IE6 浏览器提交，上传文件时，请求中存放是客户端完整路径 ----- 在服务器端保存文件时，需要切掉客户端路径，只保留文件名

int index = filename.lastIndexOf("\\");

if (index != -1) {

filename = filename.substring(index + 1);// 获得真实文件名

}

============================================================================================================================

二、commons-fileupload 核心API 分析

1、DiskFileItemFactory 磁盘文件项工厂类

public DiskFileItemFactory(int sizeThreshold, java.io.File repository) 构造工厂时，指定内存缓冲区大小和临时文件存放位置

public void setSizeThreshold(int sizeThreshold) 设置内存缓冲区大小，默认10K

public void setRepository(java.io.File repository)设置临时文件存放位置，默认System.getProperty("java.io.tmpdir").

内存缓冲区： 上传文件时，上传文件的内容优先保存在内存缓冲区中，当上传文件大小超过缓冲区大小，就会在服务器端产生临时文件

临时文件存放位置： 保存超过了内存缓冲区大小上传文件而产生临时文件

* 产生临时文件可以通过 FileItem的delete方法删除

2、ServletFileUpload 文件上传核心类

static boolean isMultipartContent(javax.servlet.http.HttpServletRequest request) 判断request的编码方式是否为multipart/form-data

java.util.List parseRequest(javax.servlet.http.HttpServletRequest request) 解析request，将请求体每个部分封装FileItem对象，返回List<FileItem>

void setFileSizeMax(long fileSizeMax) 设置单个文件上传大小 和 void setSizeMax(long sizeMax) 设置总文件上传大小

void setHeaderEncoding(java.lang.String encoding) 设置编码集 解决上传文件名乱码 *****

void setProgressListener(ProgressListener pListener) 设置文件上传监听器 （用来监控文件上传进度）

* 上传时间、剩余大小、速度、剩余时间

3、FileItem 表示文件上传表单中 每个数据部分

boolean isFormField() 判断该数据项是否为文件上传项，true 不是文件上传 false 是文件上传

if(fileItem.isFormField()){

// 不是上传项

java.lang.String getFieldName() 获得普通表单项name属性

java.lang.String getString() / java.lang.String getString(java.lang.String encoding) 获得普通表单项value属性 传入编码集用来解决输入value乱码

}else{

// 是上传项

java.lang.String getName() 获得上传文件名 （注意IE6存在路径）

java.io.InputStream getInputStream() 获得上传文件内容输入流

// 上传文件

void delete() 删除临时文件（删除时，必须要管理输入输出流）

}

注意事项：因为文件上传表单采用编码方式multipart/form-data 与传统url编码不同，所有getParameter 方法不能使用 setCharacterEncoding 无法解决输入项乱码问题

三 JavaScript的多文件上传表单

四 上传文件注意问题

1、上传文件后，在服务器端保存位置

第一类存放位置：直接存放WebRoot目录下 和 除WEB-INF META-INF的其它子目录下 例如: WebRoot/upload

* 客户端可以直接在浏览器上通过url访问位置（资料无需通过权限控制，而可以直接访问） ---- 对上传资源安全性要求不高、或者资源需要用户直接可见

* 例如：购物商城商品图片

第二类存放位置：放入WEB-INF及其子目录 或者 不受tomcat服务器管理目录 例如： WebRoot/WEB-INF/upload 、c:\ 、d:\abc

* 客户端无法通过URL直接访问，必须由服务器内部程序才能读取 （安全性较高，可以很容易添加权限控制）

* 例如：会员制在线视频

2、上传文件在同一个目录重名问题

如果文件重名，后上传文件就会覆盖先上传文件

文件名 UUID

filename = UUID.randomUUID().toString() + "_" + filename;

3、为了防止同一个目录下方上传文件数量过多 ---- 必须采用目录分离算法

1) 按照上传时间进行目录分离 （周、月 ）

2) 按照上传用户进行目录分离 ----- 为每个用户建立单独目录

3) 按照固定数量进行目录分离 ------ 假设每个目录只能存放3000个文件 ，每当一个目录存满3000个文件后，创建一个新的目录

4) 按照唯一文件名的hashcode 进行目录分离

public static String generateRandomDir(String uuidFileName) {

// 获得唯一文件名的hashcode

int hashcode = uuidFileName.hashCode();

// 获得一级目录

int d1 = hashcode & 0xf;

// 获得二级目录

int d2 = (hashcode >>> 4) & 0xf;

return "/" + d2 + "/" + d1;// 共有256目录

}

4、乱码问题

普通编写项 value属性乱码 ------------- fileItem.getString(编码集);

上传文件项 文件名乱码 --------- fileupload.setHeaderEncoding(编码集);

=========================================================================================================================

五、上传文件的进度监控

ServletFileUpload 类 提供 public void setProgressListener(ProgressListener pListener)

* 为文件上传程序绑定一个监听器对象，通过监听器可以监听文件上传全过程

* 和AJAX技术结合，编写文件上传进度条

设置监听器，文件上传程序会自动执行 监听器中 update方法 public void update(long pBytesRead, long pContentLength, int pItems)

在方法中可以获得 文件总大小、已经上传大小和 上传第几个元素

能否根据上面三个参数计算：剩余大小、传输速度、已用时间、剩余时间

1) 已用时间 = 当前时间 - 开始时间

2) 速度 = 已经上传大小/已用时间

3) 剩余大小 = 总大小- 已经上传大小

4) 剩余时间 = 剩余大小/速度

六、文件下载

将服务器端文件下载到客户端

常见文件下载有两种编写方式

1、超链接直接指向下载资源

如果文件格式浏览器识别，将直接打开文件，显示在浏览器上， 如果文件格式浏览器不识别，将弹出下载窗口

对于浏览器识别格式的文件，通过另存为进行下载

客户端访问服务器静态资源文件时，静态资源文件是通过 缺省Servlet返回的，在tomcat配置文件conf/web.xml 找到 --- org.apache.catalina.servlets.DefaultServlet

2、编写服务器程序，读取服务器端文件，完成下载

必须设置两个头信息 ，来自MIME协议 Content-Type Content-Disposition

response.setContentType(getServletContext().getMimeType(filename));

response.setHeader("Content-Disposition", "attachment;filename=" + filename); // 以附件形式打开，不管格式浏览器是否识别

七、下载案例：指定一个磁盘目录，通过树形结构遍历，遍历磁盘目录下及其子目录中文体 ，提供下载

* 遍历一个树形目录结构中所有文件

1、广度非递归 遍历目录中所有文件

2、使用get方式提交中文时

<a href="/day21/downloadList?path=D:\TTPmusic\何晟铭\何晟铭 - 爱的供养.mp3">何晟铭 - 爱的供养.mp3</a><br/>

问题：IE6 提交后，服务器经过get乱码处理获得 乱码

原因：IE6对中文直接进行 get提交时，进行URL编码 ---- 编码发生问题

解决：手动对get提交中文进行编码 ----- URLEncoder

3、如果下载文件是中文名，设置 response.setHeader("Content-Disposition", "attachment;filename=" + filename); 出现附件名乱码

不同浏览器处理下载附件名乱码 处理方式不同 ，例如 IE使用URL编码 、FF使用 BASE64编码

通过USER-AGENT 请求头信息字段，判断来访者浏览器类型

** 问题：火狐浏览器 在使用MimeUtility 进行Base64编码 时存在问题 ，如果字符串中没有中文，无法进行编码

解决：采用手动BASE64 编码

BASE64Encoder base64Encoder = new BASE64Encoder();

filename = "=?utf-8?B?" + base64Encoder.encode(filename.getBytes("utf-8")) + "?=";