ASP.NET杜绝文件上传漏洞的代码

本文主要是介绍ASP.NET杜绝文件上传漏洞的代码，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

检测文件的头部编码,不同类型文件的头部编码是不一样的(不知道这样说恰当不,有错误希望大家指出),比如255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rar
<html xmlns=" http://www.w3.org/1999/xhtml " >
<head runat="server">
<title>无标题页</title>
</head>
<body>
<form id="form1" runat="server">
<div>
<asp:FileUpload ID="FileUpload1" runat="server" />
<asp:Button ID="btn_upload" runat="server" OnClick="btn_upload_Click" Text="上传" />
</div>
</form>
</body>
</html>

可以实现真正意义上的文件类型判断,推荐使用这种方法.


using System;
using System.Data;
using System.Configuration;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;

public partial class _Default : System.Web.UI.Page
{
   protected void Page_Load(object sender, EventArgs e)
   {

   }
   protected void btn_upload_Click(object sender, EventArgs e)
   {
     try
     {
        //判断是否已经选取文件
        if (FileUpload1.HasFile)
        {
           if (IsAllowedExtension(FileUpload1))
           {
               string path = Server.MapPath("~/images/");
               FileUpload1.PostedFile.SaveAs(path + FileUpload1.FileName);
               Response.Write("<script>alert(’上传成功’);</script>");
            }
            else
           {
               Response.Write("<script>alert(’您只能上传jpg或者gif图片’);</script>");
            }

        }
        else
        {
            Response.Write("<script>alert(’你还没有选择文件’);</script>");
         }
    }
    catch (Exception error)
    {
       Response.Write(error.ToString());
    }
}
//真正判断文件类型的关键函数
public static bool IsAllowedExtension(FileUpload hifile)
{
    System.IO.FileStream fs = new System.IO.FileStream(hifile.PostedFile.FileName, System.IO.FileMode.Open, System.IO.FileAccess.Read);
    System.IO.BinaryReader r = new System.IO.BinaryReader(fs);
    string fileclass = "";
    byte buffer;
   try
   {
      buffer = r.ReadByte();
      fileclass = buffer.ToString();
      buffer = r.ReadByte();
      fileclass += buffer.ToString();

   }
   catch
   {

   }
   r.Close();
   fs.Close();
   if (fileclass == "255216" || fileclass == "7173")
//说明255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rar
   {
      return true;
    }
    else
   {
      return false;
   }

}
}
        这种方式来判断文件类型可以杜绝网站经典的上传漏洞,普通上传类判断文件后缀来判断类型。黑客很容易利用构造虚假路径的手段欺骗上传程序，而从文件的根源判断，即使文件路径为虚假，但文件的编码是不好改变的。

这篇关于ASP.NET杜绝文件上传漏洞的代码的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---