脚本之家 服务器常用软件
快捷导航
您的位置:首页软件编程C#教程 → 图片上传安全性问题

http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全

 更新时间:2015年09月24日 11:32:38   作者:小 鹏  
图片上传常用的类型判断方法有这么几种---截取扩展名、获取文件ContentType (MIME) 、读取byte来判断(这个什么叫法来着?)。下面由脚本之家小编跟大家分享图片上传安全性问题,感兴趣的朋友一起看看吧

图片上传常用的类型判断方法有这么几种---截取扩展名、获取文件ContentType (MIME) 、读取byte来判断(这个什么叫法来着?)。前两种都有安全问题。容易被上传不安全的文件,如木马什么的。第1种截取文件扩展名来判断的方法很明显不安 全,第2种ContentType MIME可以伪造,所以用ContentType来判断其实也不安全。建议采用第3种。

C#演示:

1.截取扩展名来做判断,不可取。

if (Request.Files.Count > 0)
{
  //这里只测试上传第一张图片file[0]
  HttpPostedFile file0 = Request.Files[0];
  string ext = file0.FileName.Substring(file0.FileName.LastIndexOf('.') + 1);//文件扩展名string[] fileTypeStr = { "jpg", "gif", "bmp", "png" };
  if (fileTypeStr.Contains(ext))
  {
    file0.SaveAs(Server.MapPath("~/" + file0.FileName));//保存文件  }
  else
  {
    Response.Write("图片格式不正确" + ext);
  }
}

2.判断ContentType (MIME) ,比第1种方案安全。但其实ContentType是可伪造的,所以也不够安全。

if (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
  HttpPostedFile file0 = Request.Files[0];
  string contentType = file0.ContentType;//文件类型string[] fileTypeStr = { "image/gif","image/x-png","image/pjpeg","image/jpeg","image/bmp"};
  if (fileTypeStr.Contains(contentType))
  {
    file0.SaveAs(Server.MapPath("~/" + file0.FileName));
  }
  else
  {
    Response.Write("图片格式不正确" + contentType);
  }
}

3.通过byte获取文件类型,来做判断。

if (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
  HttpPostedFile file0 = Request.Files[0];
  //转换成byte,读取图片MIME类型  Stream stream;
  //int contentLength = file0.ContentLength; //文件长度byte[] fileByte = newbyte[2];//contentLength,这里我们只读取文件长度的前两位用于判断就好了,这样速度比较快,剩下的也用不到。
  stream = file0.InputStream;
  stream.Read(fileByte, 0, 2);//contentLength,还是取前两位  stream.Close();
  string fileFlag = "";
  if (fileByte != null && fileByte.Length > 0)//图片数据是否为空  {
    fileFlag = fileByte[0].ToString() + fileByte[1].ToString();         
  }
  string[] fileTypeStr = { "255216", "7173", "6677", "13780" };//对应的图片格式jpg,gif,bmp,pngif (fileTypeStr.Contains(fileFlag))
  {
    file0.SaveAs(Server.MapPath("~/" + file0.FileName));
  }
  else
  {
    Response.Write("图片格式不正确:" + fileFlag);
  }
}

以上内容就是本文给大家叙述的http图片上传安全性问题 根据ContentType (MIME) 判断其实不准确、不安全,希望大家喜欢。

您可能感兴趣的文章:

相关文章

  • C#实现动态执行字符串脚本(优化版)的示例代码

    C#实现动态执行字符串脚本(优化版)的示例代码

    这篇文章主要为大家详细介绍了C#如何实现动态执行字符串脚本(优化版),文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下
    2023-03-03
  • C#三种方法获取文件的Content-Type(MIME Type)

    C#三种方法获取文件的Content-Type(MIME Type)

    这篇文章介绍了C#获取文件Content-Type(MIME Type)的三种方法,文中通过示例代码介绍的非常详细。对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2022-01-01
  • LRU缓存替换策略及C#实现方法分享

    LRU缓存替换策略及C#实现方法分享

    LRU(Least Recently Used)缓存替换策略是一种常用的缓存管理策略,它根据数据最近被访问的时间来决定哪些数据应该被保留在缓存中。本文将介绍LRU缓存替换策略的原理和C#实现方法。
    2023-04-04
  • C#使用Directoryinfo类获得目录信息和属性的方法

    C#使用Directoryinfo类获得目录信息和属性的方法

    这篇文章主要介绍了C#使用Directoryinfo类获得目录信息和属性的方法,涉及C#操作目录的技巧,非常具有实用价值,需要的朋友可以参考下
    2015-04-04
  • C# 中的 is 真的是越来越强大越来越语义化(推荐)

    C# 中的 is 真的是越来越强大越来越语义化(推荐)

    这篇文章主要介绍了C# 中的 is 真的是越来越强大越来越语义化,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
    2020-09-09
  • C#实现餐饮管理系统完整版

    C#实现餐饮管理系统完整版

    这篇文章主要为大家详细介绍了C#实现餐饮管理系统的完整版,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2019-01-01
  • C#连接db2数据库的实现方法

    C#连接db2数据库的实现方法

    本篇文章是对C#连接db2数据库的方法进行了详细的分析介绍,需要的朋友参考下
    2013-05-05
  • Unity3D Shader实现扫描显示效果(2)

    Unity3D Shader实现扫描显示效果(2)

    这篇文章主要为大家详细介绍了Unity3D Shader实现扫描显示效果,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2019-03-03
  • Unity3D实现飞机大战游戏(2)

    Unity3D实现飞机大战游戏(2)

    这篇文章主要为大家详细介绍了Unity3D实现飞机大战游戏的第二部分,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2020-06-06
  • C#利用Aspose.PDF实现PDF转EPUB的完整指南

    C#利用Aspose.PDF实现PDF转EPUB的完整指南

    在 .NET 开发中,Aspose.PDF 是一个强大的库,能够帮助我们处理 PDF 文件的各种任务,包括将 PDF 转换为其他格式,如 EPUB,本文将介绍如何使用 Aspose.PDF 在 C# 中实现将 PDF 转换为 EPUB 的功能,需要的朋友可以参考下
    2025-02-02

最新评论