使用5xsoft upload组件上传到服务器时,如何检查里面是否包含危险代码? [问题点数:50分,结帖人lwzlemon]
-
本版专家分:60结帖率 98.53% -
回复次数8楼主例如:我上传一个asp文件,里面包含了"deletefile","createfolder"等字样时,如何检查出来呢??祝高手们中秋快乐!问题点数:50分
-
本版专家分:34008
-
-
微软MVP
2008年10月 荣获微软MVP称号
2007年10月 荣获微软MVP称号
-
-
#1 得分:0直接判断好像比较难,可以考虑先上传保存为一个临时文件,然后用 fso 检查这个临时文件中是否有这些东西,有的话,删掉,否则保存。
-
本版专家分:2953 -
#2 得分:0通过关键字检索,
定义好你的关键字列表
将文件内容读出来
然后作为字符串处理判断
别无它法
-
本版专家分:60
-
#3 得分:0能给个例子吗?
例如我已经有了
set upload=new upload_5xsoft
set file=upload.file("file1")
接下来该怎么做呢?
-
本版专家分:6832 -
#4 得分:5文件扩展名上限制,不得传CGI/ASP/ASPX/JSP/PHP等扩展名的文件..
这样,他就算上传了一个DELFILE的文件,最多只能在客户端执行.
比如DELFILE.HTM或者DELFILE.GIF等. 不会对服务器构成威胁
-
本版专家分:6832
-
#5 得分:0文件扩展名上限制,不得传CGI/ASP/ASPX/JSP/PHP等扩展名的文件..
这样,他就算上传了一个DELFILE的文件,最多只能在客户端执行.
比如DELFILE.HTM或者DELFILE.GIF等. 不会对服务器构成威胁
-
本版专家分:23599 -
#6 得分:5最好还是限制文件类型
-
本版专家分:4080
-
#7 得分:35偶也认为在文件类型上做限制
…… ……
if STRCOMP(right(newfile,4),".cgi",1)=0 or STRCOMP(right(newfile,4),".php",1)=0 or STRCOMP(right(newfile,4),".dll",1)=0 or STRCOMP(right(newfile,4),".jsp",1)=0
%>
<script language=vbscript>
msgbox "不支持此格式的文件名,创建文件失败!"
</script>
…… ……
_______________________________________________________________________
…… ……
if InStr(newfile,"=")<>0 or InStr(newfile,"`")<>0 or InStr(newfile,"'")<>0 or InStr(newfile," ")<>0 or InStr(newfile," ")<>0 or InStr(newfile,"'")<>0 or InStr(newfile,chr(34))<>0 or InStr(newfile,"\")<>0 or InStr(newfile,",")<>0 or InStr(newfile,"<")<>0 or InStr(newfile,">")<>0 or InStr(newfile,"/")<>0 or InStr(newfile,":")<>0 or InStr(newfile,"(")<>0 or InStr(newfile,")")<>0 or InStr(newfile,"#")<>0 or InStr(newfile,"$")<>0 or InStr(newfile,"%")<>0 or InStr(newfile,"&")<>0 or InStr(newfile,"*")<>0 or InStr(newfile,"-")<>0 or InStr(newfile,"+")<>0 or InStr(newfile,"[")<>0 or InStr(newfile,"]")<>0 or InStr(newfile,"|")<>0 or InStr(newfile,"^")<>0 then
%>
<script language=vbscript>
msgbox "文件名不能包括\/:*?"&chr(34)&"<>|等字符,创建文件失败!"
</script>
…… ……
-
本版专家分:1909 -
#8 得分:5同意限制文件类型,这样简单实用
- 其他相关推荐
- 将文件复制到ftp服务器时发生错误
- 目录权限的原因 chmod -R 777 要进行操作的目录
- 检测字符串中是否含有中文
- 检测字符串中是否含有中文: 思路: 我们都知道,英文字符串和中文字符串最大的区别在于每一个英文字符占用一个字节,而每一个中文字符占用两个字节。 知道这一点,就为我们检测字符串中是否有中文提供了实现思路,那就是将字符串先转换为字节数组,并获取字节数组的长度,然后与原字符串的长度作比较,如果字节数组的长度大于字符串的长度,那么,目标字符串中就含有中文字符。 代码: public static
- JAVA使用apache commons-fileupload组件完成文件上传到服务器功能
- 本案主要完成使用阿帕奇commons-fileupload组件完成文件上传功能(浏览器端上传到服务器) 1 首先准备这两个apache组件导入项目 2 前端页面简单写了写 其中要注意的地方时,表单提交Form内内容enctype必须加上,且内容必须是multipart/form-data,表示二进制方式提交 另外提交方式必须是post 3 开始fileUp
- 检查数组是否包含某个值
- //使用list判断是否包含目标值 public class isListContains { //数组转换成list判断,一个元素是否存在于list集合之后 public static void main(String args[]){ String str[]={"杜牧","孙少安","孙少平","兰香","三星","孙玉德"};
- 检测文件名中是否包含中文或空格
- 检测文件名中是否包含中文 def is_chinese(char): """判断是否包含中文""" if not isinstance(char, unicode): char = char.decode('utf8') if re.search(ur"[\u4e00-\u9fa5]+",char): return True
- SQL Server2005 Reporting Service使用的一些总结
- 使用环境: SQL Server 2005 (SP2或SP3)低版本出现报表无法打印的问题(客户端无法加载打印控件) SP2地址: http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=4603c722-2468-4adb-b945-2ed0458b8f47 SP3地址: http://www
- 打开ftp服务器上的文件时发生错误。请检查是否有权限访问该文件夹
- 打开ftp服务器上的文件时发生错误。请检查是否有权限访问该文件夹 详细信息:the opration time out 我以为是文件夹内容太多,访问超时,所以设置了下服务器的超时为2000秒,也不起作用,后来设置了下客户端浏览器的---高级--使用被动ftp(是客户端问题) 这样设置后,ftp文件可以正常打开 参考:http://wenwen.soso.com/z/q158
- ossUploader 阿里云OSS 对象云存储 上传控件
- 上传到阿里云oss的前端页面(仿百度webuploader插件)效果图: 喜欢就给个star支持下, https://github.com/WiFiUncle/ossUploader
- 判断服务器中文件是否存在
- String path="http://127.0.0.1/upload/cardpic/aa.jpg"; try { URL url =new URL(path);//服务器路径用URL HttpURLConnection urlcon = (HttpURLConnection) url.ope
- 将python包上传到PyPI
- 目标:将自己写的python包上传到PyPI上,这样其他人就可以用pip下载了总体文件结构:--- Root directory (name doesn't matter) |- your_library | |- __init__.py | |- actual_code_goes_here.py |- setup.py |- README.rst |- LICENSE.txt创建s