上传文件检测

来源：互联网发布：行为审计软件编辑：程序博客网时间：2024/06/14 13:57

检测文件的头部编码,不同类型文件的头部编码是不一样的(不知道这样说恰当不,有错误希望大家指出),比如255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rar...这篇文章代码多有参考网络,特此说明.

</head>

<body>

<div>

<asp:FileUpload ID="FileUpload1" runat="server" />

<asp:Button ID="btn_upload" runat="server" OnClick="btn_upload_Click" Text="上传" />

</div>

</form>

</body>

</html>

可以实现真正意义上的文件类型判断,推荐使用这种方法.

using System;

using System.Data;

using System.Configuration;

using System.Web;

using System.Web.Security;

using System.Web.UI;

using System.Web.UI.WebControls;

using System.Web.UI.WebControls.WebParts;

using System.Web.UI.HtmlControls;

public partial class _Default : System.Web.UI.Page

{

protected void Page_Load(object sender, EventArgs e)

{

}

protected void btn_upload_Click(object sender, EventArgs e)

{

try

{

//判断是否已经选取文件

if (FileUpload1.HasFile)

{

if (IsAllowedExtension(FileUpload1))

{

string path = Server.MapPath("~/images/");

FileUpload1.PostedFile.SaveAs(path + FileUpload1.FileName);

Response.Write("<script>alert(’上传成功’);</script>");

}

else

{

Response.Write("<script>alert(’您只能上传jpg或者gif图片’);</script>");

}

else

{

Response.Write("<script>alert(’你还没有选择文件’);</script>");

}

catch (Exception error)

{

Response.Write(error.ToString());

}

//真正判断文件类型的关键函数

public static bool IsAllowedExtension(FileUpload hifile)

{

System.IO.FileStream fs = new System.IO.FileStream(hifile.PostedFile.FileName, System.IO.FileMode.Open, System.IO.FileAccess.Read);

System.IO.BinaryReader r = new System.IO.BinaryReader(fs);

string fileclass = "";

byte buffer;

try

{

buffer = r.ReadByte();

fileclass = buffer.ToString();

buffer = r.ReadByte();

fileclass += buffer.ToString();

}

catch

{

}

r.Close();

fs.Close();

if (fileclass == "255216" || fileclass == "7173")

//说明255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rar

{

return true;

}

else

{

return false;

}

这种方式来判断文件类型可以杜绝网站经典的上传漏洞,普通上传类判断文件后缀来判断类型。黑客很容易利用构造虚假路径的手段欺骗上传程序，而从文件的根源判断，即使文件路径为虚假，但文件的编码是不好改变的。