码迷,mamicode.com
首页 > Web开发 > 详细

图片上传安全性问题,根据ContentType (MIME) 判断其实不准确、不安全

时间:2015-08-01 11:16:41      阅读:139      评论:0      收藏:0      [点我收藏+]

标签:

图片上传常用的类型判断方法有这么几种---截取扩展名、获取文件ContentType (MIME) 、读取byte来判断(这个什么叫法来着?)。前两种都有安全问题。容易被上传不安全的文件,如木马什么的。第1种截取文件扩展名来判断的方法很明显不安 全,第2种ContentType MIME可以伪造,所以用ContentType来判断其实也不安全。建议采用第3种。

C#演示:

1.截取扩展名来做判断,不可取。

if (Request.Files.Count > 0)
{
    //这里只测试上传第一张图片file[0]
    HttpPostedFile file0 = Request.Files[0];
    string ext = file0.FileName.Substring(file0.FileName.LastIndexOf(.) + 1);//文件扩展名
    string[] fileTypeStr = { "jpg", "gif", "bmp", "png" };
    if (fileTypeStr.Contains(ext))
    {
        file0.SaveAs(Server.MapPath("~/" + file0.FileName));//保存文件
    }
    else
    {
        Response.Write("图片格式不正确" + ext);
    }
}

2.判断ContentType (MIME) ,比第1种方案安全。但其实ContentType是可伪造的,所以也不够安全。

if (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
    HttpPostedFile file0 = Request.Files[0];
    string contentType = file0.ContentType;//文件类型
string[] fileTypeStr = { "image/gif","image/x-png","image/pjpeg","image/jpeg","image/bmp"};
    if (fileTypeStr.Contains(contentType))
    {
        file0.SaveAs(Server.MapPath("~/" + file0.FileName));
    }
    else
    {
        Response.Write("图片格式不正确" + contentType);
    }
}

3.通过byte获取文件类型,来做判断。

if (Request.Files.Count > 0)
{
//这里只测试上传第一张图片file[0]
    HttpPostedFile file0 = Request.Files[0];
      
    //转换成byte,读取图片MIME类型
    Stream stream;
    //int contentLength = file0.ContentLength; //文件长度
    byte[] fileByte = new byte[2];//contentLength,这里我们只读取文件长度的前两位用于判断就好了,这样速度比较快,剩下的也用不到。
    stream = file0.InputStream;
    stream.Read(fileByte, 0, 2);//contentLength,还是取前两位
    stream.Close();
      
    string fileFlag = "";
    if (fileByte != null && fileByte.Length > 0)//图片数据是否为空
    {
        fileFlag = fileByte[0].ToString() + fileByte[1].ToString();                  
    }
    string[] fileTypeStr = { "255216", "7173", "6677", "13780" };//对应的图片格式jpg,gif,bmp,png
    if (fileTypeStr.Contains(fileFlag))
    {
        file0.SaveAs(Server.MapPath("~/" + file0.FileName));
    }
    else
    {
        Response.Write("图片格式不正确:" + fileFlag);
    }
}

 

图片上传安全性问题,根据ContentType (MIME) 判断其实不准确、不安全

标签:

原文地址:http://www.cnblogs.com/hsw-2013/p/4693711.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!