http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全


图片上传常用的类型判断方法有这么几种---截取扩展名、获取文件ContentType (MIME) 、读取byte来判断(这个什么叫法来着?)。前两种都有安全问题。容易被上传不安全的文件,如木马什么的。第1种截取文件扩展名来判断的方法很明显不安 全,第2种ContentType MIME可以伪造,所以用ContentType来判断其实也不安全。建议采用第3种。

C#演示:

1.截取扩展名来做判断,不可取。

if (Request.Files.Count > 0)
{
  //这里只测试上传第一张图片file[0]
  HttpPostedFile file0 = Request.Files[0];
  string ext = file0.FileName.Substring(file0.FileName.LastIndexOf('.') + 1);//文件扩展名string[] fileTypeStr = { "jpg", "gif", "bmp", "png" };
  if (fileTypeStr.Contains(ext))
  {
    file0.SaveAs(Server.MapPath("~/" + file0.FileName));//保存文件  }
  else
  {
    Response.Write("图片格式不正确" + ext);
  }
}

2.判断ContentType (MIME) ,比第1种方案安全。但其实ContentType是可伪造的,所以也不够安全。

if (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
  HttpPostedFile file0 = Request.Files[0];
  string contentType = file0.ContentType;//文件类型string[] fileTypeStr = { "image/gif","image/x-png","image/pjpeg","image/jpeg","image/bmp"};
  if (fileTypeStr.Contains(contentType))
  {
    file0.SaveAs(Server.MapPath("~/" + file0.FileName));
  }
  else
  {
    Response.Write("图片格式不正确" + contentType);
  }
}

3.通过byte获取文件类型,来做判断。

if (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
  HttpPostedFile file0 = Request.Files[0];
  //转换成byte,读取图片MIME类型  Stream stream;
  //int contentLength = file0.ContentLength; //文件长度byte[] fileByte = newbyte[2];//contentLength,这里我们只读取文件长度的前两位用于判断就好了,这样速度比较快,剩下的也用不到。
  stream = file0.InputStream;
  stream.Read(fileByte, 0, 2);//contentLength,还是取前两位  stream.Close();
  string fileFlag = "";
  if (fileByte != null && fileByte.Length > 0)//图片数据是否为空  {
    fileFlag = fileByte[0].ToString() + fileByte[1].ToString();         
  }
  string[] fileTypeStr = { "255216", "7173", "6677", "13780" };//对应的图片格式jpg,gif,bmp,pngif (fileTypeStr.Contains(fileFlag))
  {
    file0.SaveAs(Server.MapPath("~/" + file0.FileName));
  }
  else
  {
    Response.Write("图片格式不正确:" + fileFlag);
  }
}

以上内容就是本文给大家叙述的http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全,希望大家喜欢。



相关阅读:
使用ajax技术实现txt弹出在页面上的方法
Adobe Reader因不再吸引Linux用户决定退出Linux系统
div标签中的元素margin-top失效的解决方法
使用PHP导出Redis数据到另一个Redis中的代码
ASP.NET两个截取字符串的方法分享
node.js中的http.response.write方法使用说明
升级到Win10系统需要知道的7件事
PHP实现微信网页授权开发教程
jQuery找出网页上最高元素的方法
Android实战打飞机游戏之菜单页面设计(1)
Wind10 Build 10130即将向Slow Ring用户大面积推送
mysql group_concat()函数用法总结
ajax+jQuery实现级联显示地址的方法
win7系统补丁清理技巧 win7清理更新过的补丁方法分享
快速导航
PHP MySQL HTML CSS JavaScript MSSQL AJAX .NET JSP Linux Mac ASP 服务器 SQL jQuery C# C++ java Android IOS oracle MongoDB SQLite wamp 交通频道 作文范文 紧张军旅(总篇) 小学六年级作文700字:我的一个梦 筱嫣 城市经济发展工作汇报 快乐的“小猪”作文300字 珍爱生命_人生感悟 青春秘方 狼性团队精神演讲稿 工作总结格式10篇汇总 这一刻,我都懂 民营企业家队伍建设情况调研报告 生活因失败而精彩作文500字 从今天起做一个风情万种的女子 初中初一作文750字:家乡变化 你不喜欢的每一天都是不属于你的 县审计局先进集体申报材料 群众路线整改落实情况回头看情况汇报 三国城游记 培训会议主持词开场白 物价局实行干部挂职轮岗工作意见 重庆理科高考状元出炉:爱下厨房的状元 教育之要在人性回归,不在前沿时髦 忧伤旋律 彼岸的你 十过十错十耽误 紫陌红尘,谁是我指尖上的那抹暖 小学毕业典礼家长发言稿 有一个词作文200字 一百年后的别墅 多美的一种境界 小学六年级作文600字:打开门的钥匙 小学五年级作文500字:剪纸 初中初一作文450字:喜欢秋天 礼记引南人言 十月教育实习工作小结 培根随笔论求知读后感 把复杂留给哲人,把简单和单纯留给自己 宝钗的悲剧1200字 我是不是你最爱的人,说唱日记 诉衷情(商调) 初中初一作文750字:临安避暑 那曾感动我的一瞬间作文600字 写给男朋友生日的话 网站优化外包服务合同书 早安心语:对女朋友说早安逗她开心的句子 我是一个塑料袋 小学五年级作文900字:二十年后的你和我 给我一把钥匙作文400字 家乡四季的风作文 11月大学生入党积极分子思想汇报范文:我看自我批

Copyright © 2016 phpStudy |