防止用户上传产生无效文件源码

最新推荐文章于 2022-08-19 11:42:59 发布
最新推荐文章于 2022-08-19 11:42:59 发布
阅读量1.2k 收藏
点赞数 1
分类专栏: 编程技术 文章标签: upload vbscript input function image iframe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hotlion/article/details/428028
版权

   经过近日来的调试,狂人于4月12日写的一篇日志“用户上传产生无效文件的解决思路”代码部分已经完成。欢迎批评指正,以便改进。

[FileName]:upload.asp
[Code]:
<%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%>
<!--#i nclude virtual="upload.inc"-->
<%
 If Request.ServerVariables("REQUEST_METHOD")="POST" then
'表单提交执行
  CONST upFileSize=100 '文件大小限制,单位:KB
  CONST upFileType=".gif.jpg.jpeg" '文件类型限制,可根据需要修改
  CONST targetPath="/publish/images/" '以网站为根目录的文件存放路径,以"/"结束
  
  dim upload,thisFile,formName,iCount
  set upload=new upload_5xSoft ''建立上传对象

  Flag=True '初始化文件上传标识
  for each formName in upload.ifile '列出上传文件的所有参数
   set thisFile=upload.ifile(formName)  '生成一个文件对象

   If thisfile.filesize=0 then
    Flag=False
    Msg="请选择你要上传的文件。"
    CALL showErr(Msg)
   end if

   if thisfile.filesize>upFileSize*1024 then
    Flag=False
    Msg="文件大小超过了限制。"
    CALL showErr(Msg)
   end if

   if Instr(upFileType,GetExtendName(thisfile.FileName))=0 then
    Flag=False
    Msg="文件格式不符合要求。"
    CALL showErr(Msg)
   end if
   
   If Flag then
    '创建临时上传文件夹
    tempPath="/publish/images/"&Session.SessionID&"/"
    set FSO= CreateObject("Scripting.FileSystemObject")
    If NOT FSO.FolderExists(Server.MapPath(tempPath)) then
     '文件夹未存在则创建
     FSO.CreateFolder(Server.MapPath(tempPath))
     set FSO=Nothing
    End if
    
    '执行文件上传操作
    setFileName=now() '获取当前时间作为文件名
    setFileName=Replace(setFileName,"-","") '去除日期格式符"-"
    setFileName=Replace(setFileName," ","") '去除空格
    setFileName=Replace(setFileName,":","")&GetExtendName(thisfile.FileName) '去除时间格式符":"及添加文件扩展名
    thisfile.SaveAs Server.mappath(tempPath&setFileName)
   End if
  Next

  CALL resultTip()
  Response.End()
 End if
%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title></title>
<style type="text/css">
<!--
body {
 font-size: 12px;
}
-->
</style>
</head>

<body leftmargin="0" topmargin="0">
<form action="" method="post" enctype="multipart/form-data" name="frm_pic">
   <input type="file" name="file">
   <input type="submit" name="Submit" value="上传">
</form>
 1、只能上传<%=upFileType%>格式的图片<br>
 2、图片大小请在<%=upFileSize%>K以内<br>
 3、请对您所上传的图片内容负责
</body>
</html>
<%
 Sub resultTip()
 '本过程用于显示上传操作结果
  Response.Write("<html><head>")
  Response.Write("<meta http-equiv=Content-Type content=text/html; charset=gb2312>")
  Response.Write("<title></title></head>")
  Response.Write("<script>parent.frm_publish.P_Image.value='"&setFileName&"'</script>") '把文件名传递至父文件的隐藏表单控件
  Response.Write("<body leftmargin=0 topmargin=0>")
  Response.Write("<table><tr><td><font color=red><b>图片上传成功</b></font></td></tr></table>")
  Response.Write("</body></html>")

 End sub

 Function GetExtendName(FileName)
 '本过程用于获取上传源文件的扩展名
  dim ExtName
  ExtName = LCase(FileName)
  ExtName = mid(ExtName,instrRev(ExtName,"."))
  GetExtendName = ExtName
 End function
 
 Sub showErr(msg)
 '本过程用于显示操作错误信息
  Response.Write(msg)
  CALL closeObject()
  Response.End()
 End sub
 
 Sub closeObject()
 '本过程用于关闭对象
  set upload=Nothing
  set thisFile=Nothing
 End sub
%>

  以上源代码只要稍作修改即可。最好在父文件使用iFrame标签调用。父文件用于记录上传后文件名的隐藏表单控件名为<input name="P_Image" type="hidden" id="P_Image" value="0">,表单名为"parent.frm_publish"。如表单名和控件名改变,则相应地,源代码红色标注部分也要作相应改变,否则无法传递值。

[FileName]:upload.asp
[Code]:
<%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%>
<!--#i nclude virtual="upload.inc"-->
<%
 If Request.ServerVariables("REQUEST_METHOD")="POST" then
'表单提交执行
  CONST upFileSize=100 '文件大小限制,单位:KB
  CONST upFileType=".gif.jpg.jpeg" '文件类型限制,可根据需要修改
  CONST targetPath="/publish/images/" '以网站为根目录的文件存放路径,以"/"结束
  
  dim upload,thisFile,formName,iCount
  set upload=new upload_5xSoft ''建立上传对象

  Flag=True '初始化文件上传标识
  for each formName in upload.ifile '列出上传文件的所有参数
   set thisFile=upload.ifile(formName)  '生成一个文件对象

   If thisfile.filesize=0 then
    Flag=False
    Msg="请选择你要上传的文件。"
    CALL showErr(Msg)
   end if

   if thisfile.filesize>upFileSize*1024 then
    Flag=False
    Msg="文件大小超过了限制。"
    CALL showErr(Msg)
   end if

   if Instr(upFileType,GetExtendName(thisfile.FileName))=0 then
    Flag=False
    Msg="文件格式不符合要求。"
    CALL showErr(Msg)
   end if
   
   If Flag then
    '创建临时上传文件夹
    tempPath="/publish/images/"&Session.SessionID&"/"
    set FSO= CreateObject("Scripting.FileSystemObject")
    If NOT FSO.FolderExists(Server.MapPath(tempPath)) then
     '文件夹未存在则创建
     FSO.CreateFolder(Server.MapPath(tempPath))
     set FSO=Nothing
    End if
    
    '执行文件上传操作
    setFileName=now() '获取当前时间作为文件名
    setFileName=Replace(setFileName,"-","") '去除日期格式符"-"
    setFileName=Replace(setFileName," ","") '去除空格
    setFileName=Replace(setFileName,":","")&GetExtendName(thisfile.FileName) '去除时间格式符":"及添加文件扩展名
    thisfile.SaveAs Server.mappath(tempPath&setFileName)
   End if
  Next

  CALL resultTip()
  Response.End()
 End if
%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title></title>
<style type="text/css">
<!--
body {
 font-size: 12px;
}
-->
</style>
</head>

<body leftmargin="0" topmargin="0">
<form action="" method="post" enctype="multipart/form-data" name="frm_pic">
   <input type="file" name="file">
   <input type="submit" name="Submit" value="上传">
</form>
 1、只能上传<%=upFileType%>格式的图片<br>
 2、图片大小请在<%=upFileSize%>K以内<br>
 3、请对您所上传的图片内容负责
</body>
</html>
<%
 Sub resultTip()
 '本过程用于显示上传操作结果
  Response.Write("<html><head>")
  Response.Write("<meta http-equiv=Content-Type content=text/html; charset=gb2312>")
  Response.Write("<title></title></head>")
  Response.Write("<script>parent.frm_publish.P_Image.value='"&setFileName&"'</script>") '把文件名传递至父文件的隐藏表单控件
  Response.Write("<body leftmargin=0 topmargin=0>")
  Response.Write("<table><tr><td><font color=red><b>图片上传成功</b></font></td></tr></table>")
  Response.Write("</body></html>")

 End sub

 Function GetExtendName(FileName)
 '本过程用于获取上传源文件的扩展名
  dim ExtName
  ExtName = LCase(FileName)
  ExtName = mid(ExtName,instrRev(ExtName,"."))
  GetExtendName = ExtName
 End function
 
 Sub showErr(msg)
 '本过程用于显示操作错误信息
  Response.Write(msg)
  CALL closeObject()
  Response.End()
 End sub
 
 Sub closeObject()
 '本过程用于关闭对象
  set upload=Nothing
  set thisFile=Nothing
 End sub
%>

  以上源代码只要稍作修改即可。最好在父文件使用iFrame标签调用。父文件用于记录上传后文件名的隐藏表单控件名为<input name="P_Image" type="hidden" id="P_Image" value="0">,表单名为"parent.frm_publish"。如表单名和控件名改变,则相应地,源代码红色标注部分也要作相应改变,否则无法传递值。

[FileName]:upload.asp
[Code]:
<%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%>
<!--#i nclude virtual="upload.inc"-->
<%
 If Request.ServerVariables("REQUEST_METHOD")="POST" then
'表单提交执行
  CONST upFileSize=100 '文件大小限制,单位:KB
  CONST upFileType=".gif.jpg.jpeg" '文件类型限制,可根据需要修改
  CONST targetPath="/publish/images/" '以网站为根目录的文件存放路径,以"/"结束
  
  dim upload,thisFile,formName,iCount
  set upload=new upload_5xSoft ''建立上传对象

  Flag=True '初始化文件上传标识
  for each formName in upload.ifile '列出上传文件的所有参数
   set thisFile=upload.ifile(formName)  '生成一个文件对象

   If thisfile.filesize=0 then
    Flag=False
    Msg="请选择你要上传的文件。"
    CALL showErr(Msg)
   end if

   if thisfile.filesize>upFileSize*1024 then
    Flag=False
    Msg="文件大小超过了限制。"
    CALL showErr(Msg)
   end if

   if Instr(upFileType,GetExtendName(thisfile.FileName))=0 then
    Flag=False
    Msg="文件格式不符合要求。"
    CALL showErr(Msg)
   end if
   
   If Flag then
    '创建临时上传文件夹
    tempPath="/publish/images/"&Session.SessionID&"/"
    set FSO= CreateObject("Scripting.FileSystemObject")
    If NOT FSO.FolderExists(Server.MapPath(tempPath)) then
     '文件夹未存在则创建
     FSO.CreateFolder(Server.MapPath(tempPath))
     set FSO=Nothing
    End if
    
    '执行文件上传操作
    setFileName=now() '获取当前时间作为文件名
    setFileName=Replace(setFileName,"-","") '去除日期格式符"-"
    setFileName=Replace(setFileName," ","") '去除空格
    setFileName=Replace(setFileName,":","")&GetExtendName(thisfile.FileName) '去除时间格式符":"及添加文件扩展名
    thisfile.SaveAs Server.mappath(tempPath&setFileName)
   End if
  Next

  CALL resultTip()
  Response.End()
 End if
%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title></title>
<style type="text/css">
<!--
body {
 font-size: 12px;
}
-->
</style>
</head>

<body leftmargin="0" topmargin="0">
<form action="" method="post" enctype="multipart/form-data" name="frm_pic">
   <input type="file" name="file">
   <input type="submit" name="Submit" value="上传">
</form>
 1、只能上传<%=upFileType%>格式的图片<br>
 2、图片大小请在<%=upFileSize%>K以内<br>
 3、请对您所上传的图片内容负责
</body>
</html>
<%
 Sub resultTip()
 '本过程用于显示上传操作结果
  Response.Write("<html><head>")
  Response.Write("<meta http-equiv=Content-Type content=text/html; charset=gb2312>")
  Response.Write("<title></title></head>")
  Response.Write("<script>parent.frm_publish.P_Image.value='"&setFileName&"'</script>") '把文件名传递至父文件的隐藏表单控件
  Response.Write("<body leftmargin=0 topmargin=0>")
  Response.Write("<table><tr><td><font color=red><b>图片上传成功</b></font></td></tr></table>")
  Response.Write("</body></html>")

 End sub

 Function GetExtendName(FileName)
 '本过程用于获取上传源文件的扩展名
  dim ExtName
  ExtName = LCase(FileName)
  ExtName = mid(ExtName,instrRev(ExtName,"."))
  GetExtendName = ExtName
 End function
 
 Sub showErr(msg)
 '本过程用于显示操作错误信息
  Response.Write(msg)
  CALL closeObject()
  Response.End()
 End sub
 
 Sub closeObject()
 '本过程用于关闭对象
  set upload=Nothing
  set thisFile=Nothing
 End sub
%>

  以上源代码只要稍作修改即可。最好在父文件使用iFrame标签调用。父文件用于记录上传后文件名的隐藏表单控件名为<input name="P_Image" type="hidden" id="P_Image" value="0">,表单名为"parent.frm_publish"。如表单名和控件名改变,则相应地,源代码红色标注部分也要作相应改变,否则无法传递值。

  附无组件上传调用文件upload.rar

Hotlion
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB漏洞——文件上传
qq_63594215的博客
04-09 998
MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类,当该扩展名文件被访问的时候,浏览器会自动使用知道应用程序来打开。多用于知道一些客户端自定义的文件名,以及一些媒体文件打开方式。网站允许上传任意文件,然后检查上传文件是否包含Webshell,如果包含删除文件。网站允许上传任意文件,但是如果不是指定类型,那么使用unlink删除文件
用户上传产生无效文件的解决思路
简单主义
07-18 2067
  在编写用户文件上传功能的时候,通常都是在form表单中设置一个隐藏的input控件,并使用iframe嵌套一个用于上传控制的文件,由用户输入本地文件,然后执行上传程序,完毕之后把文件的名称通过客户端脚本传递给父页面的隐藏input。在用户输入完其它信息后提交表单,系统就会把表单数据(包括input的值,即用户上传文件名)一起写入到数据库中。但这种方式会带来一个问题:用户完成文件上传之后又没有
CI框架源码解析二十之文件上传文件Upload.php
让编程改变世界
11-15 3719
最近一直在研究Codeigniter框架,本篇博文为大家简述解析文件上传文件的实现,以前写过一篇CI框架优化文件上传方法以及实现多文件上传的博文,大家可以放在一起进行对比阅读。CI框架教程2——优化文件上传方法以及实现多文件上传  上传一个文件通常涉及以下几步:         Ⅰ 显示一个上传表单,用户选择文件上传。          Ⅱ 当提交表单时,文件将被上传到你指定的目录。 
文件上传漏洞
qq_51003021的博客
08-19 1375
文件上传功能是很多web程序都带的一个功能,但是如果web后端没有对文件做一些安全性的限制的话,那么很有可能这个文件上传上来会破坏掉整个web程序,这就是文件上传漏洞。
Java利用jQuery的ajaxFileUpload异步上传文件的几种方式
热门推荐
逍遥飞鹤的专栏
09-25 1万+
使用jQuery的ajaxFileUpload控件以ajax方式上传附件有较好的用户体验,在某SSH2项目开发中,使用了ajaxFileUpload实现了附件的上传,具体过程如下: 1、引入及修改ajaxFileUpload.js [html] view plaincopy script type="text/javascript" src
Linux文件上传,防暴力破解
河蟹堡的博客
12-19 613
上传下载文件 命令 注释 put -r proxy_pools 上传文件夹文件所有的内容 get -r proxy_pools 下载文件文件夹 yum install lrzsz SecureCRT(sz与rz) rz 选择本地文件上传 sz dir/* 下载dir目录下的所有文件,不包含dir下的文件夹 Linux磁盘分区 sync 同步内存数据到磁盘 df 分区 df -h #显示磁盘使用情况 fdisk 显示磁盘 fd
百度Web Uploader组件实现文件上传之分片上传(一)
10-27 253
[color=red][size=large] 当网络问题导致传输错误时,只需要重传出错分片,而不是整个文件。另外分片传输能够更加实时的跟踪上传进度。多的不说了直接怼代码[/size][/color] [size=large]前端是三个监听:一个是获取md5,一个是分片,最后一个是合并代码[/size] [code="java"] fileupload.html ...
wangEditor实现用户自定义图片大小(改源码
疑问 搜索 动手 解决 记录
03-04 1万+
效果图 1、WangEditor本身提供的 “编辑图片” 功能,调整图片大小选项只能为30%,50%,100%。 2、修改 wangEditor.js 源码后,用户可以输入自定义大小。例如,50%效果如下: 再例如,20%效果如下: 修改方式 在 wangEditor.js 中进行修改,整体修改内容如下图: 在这里插入图片描述 主要分为两个部分的修改:输入框、事件方法。 1、增加输入框: 大约在源码的2681行,添加以下块(用于用户输入框): <span style="float:left
Web文件上传靶场 - 通关笔记
weixin_30790841的博客
08-08 849
Web应用程序通常会提供一些上传功能,比如上传头像,图片资源等,只要与资源传输有关的地方就可能存在上传漏洞,上传漏洞归根结底是程序员在对用户文件上传时控制不足或者是处理的缺陷导致的,文件上传漏洞在渗透测试中用的比较多,因为它是获取服务器WebShell最快最直接的攻击手法,其实文件上传本身并没有问题,有问题的是文件上传时程序员是如何对其进行合法化过滤的,如果程序员的处理逻辑做的不够安全,...
桃源企业文件管理系统 3.2.rar
05-23
3、多模式文件上传:支持多达5种文件上传模式,包括计算机浏览器普通上传、手机WAP浏览器普通上传(需安装WAP服务组件)、浏览器ActiveX插件批量文件上传、添加文件网址直接下载文件用户空间、访客持上传上传...
桃源校园文件管理系统 v2.0.zip
07-09
桃源校园文件管理系统是一套适用与校园网环境引用的网络软件,主要功能是实现文件的存储备份、发送共享、管理服务、内容发布、教育课件资源...10、在线编辑文本文件及office文件支持编辑锁定,防止同时编辑引起冲突。
功能非常全面的一个论坛源码
03-17
- 对于旧版的图片上传附件,提供升级程序,可以产生新的缩略图(支持TIF PSD等图像文件) - 附件允许插入帖子内容排版,未插入的将自动添加 - 允许修改附件内容,以及附件注释. 230. 用户头像上传功能修复,允许...
CMS 网站管理系统 源码
03-18
3、上传文件管理,根据时间进行文件夹分类管理,很方便的进行文件清理,大大节约空间资源:系统后台可以根据管理员操作的项目来清理无效、过期的文件,从而大大节约了空间,节约了成本。 4、支持在线支付和充值卡...
商用版本文本编辑器DotNetTextBoxV6.0.8Source 源码
08-05
7)增加强大的可视化菜单配置及上传配置的生成工具,方便用户自行生成控件的相关配置文件(测试中)! 2008/3/02 Version 5.0.1 Updates: 1)修正代码状态下按回车换行过大的BUG! 2)改良了编辑器回车换行的方式,旧版本...
如何记录访问者IP地址
简单主义
03-14 1万+
  对于一个网站的管理员来说,对访客进行IP记录是必要的。通过进行记录访客的IP,对网站的访问量统计、访客来源地区的分布、对不法访客进行追查等提供了重要的信息。  在编制程序之前,我们首先要掌握几个要点。 1、获取客户端IP地址语句:Request.ServerVariables("remote_addr"); 2、ASP语句写入Cookies:Response.Cookies("cookie
如何破解网页的防止复制功能
简单主义
07-18 4560
  我们在访问网站的时候,遇到好文章或者是有用的资料,总想把内容复制下来,保存成文件,供以后查看或者参考。可是不管我们用什么方法,就是无法把内容复制下来,很多人因此而不得不放弃。其实,只要我们了解了其中的原理,就不难实现我们的目的。  通常只能查看但不能复制网页内容,大部分都是通过网页的客户端脚本控制实现的。只要按照以下几个步骤操作,就能成功。 1、打开IE浏览器,输入你要想复制内容的页面
解决窗口关闭时保存数据的方法
简单主义
07-18 4223
网页程序的编写当中,往往要对用户离开网站前作一些数据保存处理,我们可以在发生onunload事件时执行某个数据处理页面,且能自动识别其页面操作是关闭还是刷新。
电子邮件格式合法性验证函数
简单主义
03-12 4116
  在网页设计中,用户注册录入信息时,通常需要获取用户的电子邮件地址并对其合法性进行验证。以下函数可较好地实现以上需求。该函数可写入一个独立的JS文件,以便提供不同的页面调用。  [FileName]:chk_email.js  [Code]:function chk_email(Email)     {       invalid=""        if (!Email)        i
用户上传 统计管理 asp 源码 下载
最新发布
10-08
用户上传统计管理ASP源码下载是指提供一个系统,让多个用户能够上传文件,并对这些上传文件进行统计和管理操作。这个系统的源码可以下载使用。 多用户上传功能是指允许多个用户在系统中上传文件。这样的功能通常用于网盘、云存储等应用中。用户可以通过界面选择需要上传文件,并将其传输到服务器上。上传文件源码可以提供给开发者进行二次开发,根据具体需求适配或扩展功能。 统计管理功能是指通过对上传文件的统计,提供数据分析和管理。可以统计上传文件的数量、大小、类型等信息,并把这些统计数据展示给用户或管理员。统计数据可以帮助用户更好地了解文件的使用情况,有助于决策和资源分配。管理功能通常包括对上传文件的浏览、搜索、删除等操作,以便用户可以方便地对上传文件进行管理。 ASP(Active Server Pages)是一种用于web开发的技术。ASP源码即使用ASP技术编写的源代码。多用户上传统计管理ASP源码提供了一个基于ASP技术开发的多用户上传和管理系统的代码,可以帮助开发者快速搭建一个具备这些功能的网站或应用。 总之,多用户上传统计管理ASP源码下载提供了一个方便开发者快速集成多用户上传和管理功能的资源,开发者可以根据需要进行二次开发和定制,以实现自己想要的具体功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值