28,391
社区成员
发帖
与我相关
我的任务
分享使用5xsoft upload组件上传到服务器时,如何检查里面是否包含危险代码?
例如:我上传一个asp文件,里面包含了"deletefile","createfolder"等字样时,如何检查出来呢??祝高手们中秋快乐!
...全文
请发表友善的回复…
发表回复
jesee 2003-09-12
- 打赏
- 举报
同意限制文件类型,这样简单实用
opolmzy 2003-09-12
- 打赏
- 举报
偶也认为在文件类型上做限制
…… ……
if STRCOMP(right(newfile,4),".cgi",1)=0 or STRCOMP(right(newfile,4),".php",1)=0 or STRCOMP(right(newfile,4),".dll",1)=0 or STRCOMP(right(newfile,4),".jsp",1)=0
%>
<script language=vbscript>
msgbox "不支持此格式的文件名,创建文件失败!"
</script>
…… ……
_______________________________________________________________________
…… ……
if InStr(newfile,"=")<>0 or InStr(newfile,"`")<>0 or InStr(newfile,"'")<>0 or InStr(newfile," ")<>0 or InStr(newfile," ")<>0 or InStr(newfile,"'")<>0 or InStr(newfile,chr(34))<>0 or InStr(newfile,"\")<>0 or InStr(newfile,",")<>0 or InStr(newfile,"<")<>0 or InStr(newfile,">")<>0 or InStr(newfile,"/")<>0 or InStr(newfile,":")<>0 or InStr(newfile,"(")<>0 or InStr(newfile,")")<>0 or InStr(newfile,"#")<>0 or InStr(newfile,"$")<>0 or InStr(newfile,"%")<>0 or InStr(newfile,"&")<>0 or InStr(newfile,"*")<>0 or InStr(newfile,"-")<>0 or InStr(newfile,"+")<>0 or InStr(newfile,"[")<>0 or InStr(newfile,"]")<>0 or InStr(newfile,"|")<>0 or InStr(newfile,"^")<>0 then
%>
<script language=vbscript>
msgbox "文件名不能包括\/:*?"&chr(34)&"<>|等字符,创建文件失败!"
</script>
…… ……
…… ……
if STRCOMP(right(newfile,4),".cgi",1)=0 or STRCOMP(right(newfile,4),".php",1)=0 or STRCOMP(right(newfile,4),".dll",1)=0 or STRCOMP(right(newfile,4),".jsp",1)=0
%>
<script language=vbscript>
msgbox "不支持此格式的文件名,创建文件失败!"
</script>
…… ……
_______________________________________________________________________
…… ……
if InStr(newfile,"=")<>0 or InStr(newfile,"`")<>0 or InStr(newfile,"'")<>0 or InStr(newfile," ")<>0 or InStr(newfile," ")<>0 or InStr(newfile,"'")<>0 or InStr(newfile,chr(34))<>0 or InStr(newfile,"\")<>0 or InStr(newfile,",")<>0 or InStr(newfile,"<")<>0 or InStr(newfile,">")<>0 or InStr(newfile,"/")<>0 or InStr(newfile,":")<>0 or InStr(newfile,"(")<>0 or InStr(newfile,")")<>0 or InStr(newfile,"#")<>0 or InStr(newfile,"$")<>0 or InStr(newfile,"%")<>0 or InStr(newfile,"&")<>0 or InStr(newfile,"*")<>0 or InStr(newfile,"-")<>0 or InStr(newfile,"+")<>0 or InStr(newfile,"[")<>0 or InStr(newfile,"]")<>0 or InStr(newfile,"|")<>0 or InStr(newfile,"^")<>0 then
%>
<script language=vbscript>
msgbox "文件名不能包括\/:*?"&chr(34)&"<>|等字符,创建文件失败!"
</script>
…… ……
zorou_fatal 2003-09-12
- 打赏
- 举报
最好还是限制文件类型
luok 2003-09-11
- 打赏
- 举报
文件扩展名上限制,不得传CGI/ASP/ASPX/JSP/PHP等扩展名的文件..
这样,他就算上传了一个DELFILE的文件,最多只能在客户端执行.
比如DELFILE.HTM或者DELFILE.GIF等. 不会对服务器构成威胁
这样,他就算上传了一个DELFILE的文件,最多只能在客户端执行.
比如DELFILE.HTM或者DELFILE.GIF等. 不会对服务器构成威胁
luok 2003-09-11
- 打赏
- 举报
文件扩展名上限制,不得传CGI/ASP/ASPX/JSP/PHP等扩展名的文件..
这样,他就算上传了一个DELFILE的文件,最多只能在客户端执行.
比如DELFILE.HTM或者DELFILE.GIF等. 不会对服务器构成威胁
这样,他就算上传了一个DELFILE的文件,最多只能在客户端执行.
比如DELFILE.HTM或者DELFILE.GIF等. 不会对服务器构成威胁
lwzlemon 2003-09-11
- 打赏
- 举报
能给个例子吗?
例如我已经有了
set upload=new upload_5xsoft
set file=upload.file("file1")
接下来该怎么做呢?
例如我已经有了
set upload=new upload_5xsoft
set file=upload.file("file1")
接下来该怎么做呢?
celerylhl 2003-09-11
- 打赏
- 举报
通过关键字检索,
定义好你的关键字列表
将文件内容读出来
然后作为字符串处理判断
别无它法
定义好你的关键字列表
将文件内容读出来
然后作为字符串处理判断
别无它法
nchen123 2003-09-11
- 打赏
- 举报
直接判断好像比较难,可以考虑先上传保存为一个临时文件,然后用 fso 检查这个临时文件中是否有这些东西,有的话,删掉,否则保存。
