从上传一个文件说起

最新推荐文章于 2021-08-04 14:38:11 发布
最新推荐文章于 2021-08-04 14:38:11 发布
阅读量820 收藏
点赞数
分类专栏: develop 文章标签: upload
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liweisnake/article/details/8882704
版权

    在编写一个应用时,上传一个文件是十分常用的功能,比如上传头像,上传证件,上传文件等等。

    这个功能看似非常简单:把客户端传过来的文件保存到服务器,然后将这些元信息存入数据库,甚至好多现成的库都提供了这个功能。

    但是如果真要写好了却并不是很容易,今天我就总结一些重要的步骤。事实上你会发现,这里面有非常多的话题。

    1. 拿到上传文件后,首先应该做的一件事是,简单检查文件格式,可以采用后缀名的方式。这步的目的是排除无意的错误,比如无意中选错了文件。

    2. 其次应该检查文件大小。一般tomcat会限制最大上传文件大小为2M,可以通过修改server.xml中的connector节点中的maxPostSize来修改这个值;实际中限制文件大小的地方可能会比较多(请参考apache和php的上传文件大小限制)。这里不推荐直接将限定值改到无限,原因是你永远都不能想象用户会对你的应用做什么。

    3. 接下来应当对文件名进行安全过滤,确保上传的文件不会出现directory travel安全漏洞。一般可以采取白名单的方式或者getCanonicalPath比对的方式。

    4. 然后应当对文件名及其元信息做sql injection检查以及xss过滤,确保存入数据库之后不会导致sql injection漏洞以及不会传播xss。

    5. 接下来需要将上传文件保存到一个沙盒中,确保首先文件不会运行或者影响到其他文件,同时也不会被其他文件或者程序影响。

    6. 对文件进行病毒或者恶意代码扫描(视情况可能还需要扫描文件内容)。

    7. 将文件拷贝到真正的路径

    8. 将文件元信息存入数据库

    9. 另外还得注意异常的捕获以及错误提示,还有错误的回滚(比如出错了需要删除之前临时保存的文件防止浪费空间以及这种类型的攻击)。


参考:

解决Apache2+PHP上传文件大小限制的问题 http://www.kukaka.org/home/content/72


liweisnake
关注
专栏目录
nginx java文件上传_Nginx实现文件上传和下载
weixin_39618806的博客
02-21 2161
文件上传只要保证特殊的地址先到达Nginx,然后通过Nginx指定至指定的服务器即可,目前配置是本机。文件的下载的做法就是把本机的当前目录下面的文件给返回回去。server {listen ;server_name www.zj***.com zj***.com;#charset koi8-r;#access_log logs/host.access.log main;#资源上传,...
linux put批量上传文件,Linux命令之rz - 批量上传文件,简单易用(转载)
weixin_35888603的博客
05-13 1229
用途说明rz命令能够批量上传文件,当然也可上传单个文件啦。使用的协议是古老的ZMODEM协议,尽管协议古老,但毫不影响的简单易用的特性。一般情 况我们要上传文件到Linux系统,要么使用ftp(还得架设ftp服务端),要么使用sftp,上传一个文件要敲不少命令。而这里介绍的rz命令,仅仅需 要简单的在命令行上敲一下 rz -be 命令,在SecureCRT下就会弹出文件选择框让你选择须要上传文件...
php webservice 上传文件,JS和WebService大文件上传代码分享
weixin_33512578的博客
04-02 173
在编写前端的过程中,难免会遇到文件上传的问题,当用户要上传较大的文件是,会被服务器端限制,阻止其上传,在ASP.Net中,调整服务器接受文件的大小的配置方法如下:在ASP中配置Web.config文件的httpRuntime:minLocalRequestFreeThreads="4" appRequestQueueLimit="100" enableVersionHeader="false"/&...
android 上传文件到网盘,Android大文件上传秒传之MD5篇
weixin_34980267的博客
05-28 522
前言现在越来越多的应用开始有上传文件的需求,以及秒传,续传功能。由于最近学习大文件分隔上传,以及秒传的实现,给予分享的这种精神,我想将自己的学习过程,以及遇到的问题做一个总结,希望对有这方面需求的小伙伴有一定的帮助。分析说到大文件上传,我们可能首先会想的一些网盘App,这些优秀的网盘除了上传文件外,还可以实现秒传以及断点续传功能。说起断点续传也就明白了文章题目所说的大文件分片,由于网络的原因,...
Bootstrap File Input,最好用的文件上传组件
热门推荐
沉默王二
01-29 24万+
本篇介绍如何使用bootstrap fileinput.js(最好用的文件上传组件)来进行图片的展示,上传,包括springMVC后端文件保存。
SpringMVC--文件上传概述
吴声子夜歌的博客
11-02 412
Spring MVC文件上传 Spring MVC 框架的文件上传是基于 commons-fileupload 组件的文件上传,只不过 Spring MVC 框架在原有文件上传组件上做了进一步封装,简化了文件上传的代码实现,取消了不同上传组件上的编程差异。 commons-fileupload组件 由于 Spring MVC 框架的文件上传是基于 commons-fileupload 组件的文件上...
python autoit上传文件_Python selenium使用autoIT上传附件过程详解
weixin_39521835的博客
12-10 503
Python selenium使用autoIT上传附件过程详解1.首先打开AutoIt Windows Info 工具,鼠标点击Finder Tool(按住左键不松手),鼠标将变成一个小风扇形状的图标,移动到目标控件上;如图2.通过AutoIt Windows Info 获得以下信息。窗口的title为“打开”,标题的Class为“#32770”。文件名输入框的class 为“Edit”,Inst...
文件上传绕过之00截断
weixin_44840696的博客
05-26 2万+
00截断是文件上传时的bypass手段之一,很多人知道这种绕过方法,但却知其然不知其所以然,对于其原理以及什么场合下适用并没有很好的了解,本文就来谈一谈00截断是怎么工作的,在什么场合下适合使用它 1. 【00截断原理】 谈到00截断我们都会想到,有什么0x00截断,%00截断,也有人对两个东西分析一大堆,那么它俩有什么区别呢,什么场合适用哪一个呢?这就要从00截断的原理说起: 其实截断的原理...
node请求php文件上传,Node.js实现文件上传
weixin_39833469的博客
03-18 172
在工作中碰到了这样的需求,需要用nodejs 来上传文件,之前也只是知道怎么通过浏览器来上传文件, 用nodejs的话, 相当于模拟浏览器的行为。 google 了一番之后, 明白了浏览器无非就是利用http协议来给服务器传输数据, 具体协议就是《RFC 1867 - Form-based File Upload in HTML》, 在浏览器上通过form 表单来上传文件就是通过这个协议,我们可以...
asp.net文件上传解决方案(图片上传、单文件上传、多文件上传、检查文件类型)
10-23
在***环境下,文件上传功能是一个常见的需求,广泛应用于网站开发中,比如用户上传个人照片、文档分享等场景。本解决方案将详细介绍如何在***中实现图片上传、单文件上传、多文件上传以及如何检查文件类型等关键知识...
文件上传
qingse1013的博客
01-24 2870
文件上传 原理 类型 预防 0x00 文件上传原理 文件上传漏洞是指用户上传一个可执行脚本文件,并通过此文件获得了执行服务器端命令的能力。在大多数情况下,文件上传漏洞一般是指上传 WEB 脚本能够被服务器解析的问题,也就是所谓的 webshell 问题。完成这一攻击需要这样几个条件,一是上传文件能够被 WEB 容器执行,其次用户能从 WEB 上访问这个文件,最后,如果上传文件被安全检查、格式化、图片压缩等功能改变了内容,则可能导致攻击失败。 Webshell简介: WebShell就是以a
netcore 图片 文件大小_NetCore 3.0文件上传和大文件上传的限制详解
weixin_31881651的博客
01-14 820
NetCore文件上传两种方式NetCore官方给出的两种文件上传方式分别为“缓冲”、“流式”。我简单的说说两种的区别,1.缓冲:通过模型绑定先把整个文件保存到内存,然后我们通过IFormFile得到stream,优点是效率高,缺点对内存要求大。文件不宜过大。2.流式处理:直接读取请求体装载后的Section 对应的stream 直接操作strem即可。无需把整个请求体读入内存,以下为官方微软说法...
python上传文件到http服务器,python 使用poster模块进行http方式的文件传输到服务器的方法...
weixin_39917211的博客
08-04 667
python 使用poster模块进行http方式的文件传输到服务器的方法这几天帮内部人员做一个文件传输的小工具,要用http的方式,在用django搭建了个小框架之后,如何进行传输,特别是大文件的传输,成为主要问题。经过查资料,最后选择了通过poster这个模块来进行文件的传输,方式如下:from poster.encode import multipart_encodefrom poster....
本地ip能够访问,但是公网ip不能访问的一般解决方法
笨狐狸
01-06 4万+
由于需要写了个程序,分客户端和服务器端,结果上实际环境一测试,发现通过127.0.0.1能够访问,但是通过公网ip却不能访问。 遇到这种问题,一般的解决办法如下: 1. 检查防火墙是否有禁端口。在测试阶段可以先关闭防火墙,等到解决问题之后再设置规则。 2. 检查IP是否绑定到所有ip可访问,这个跟程序有关系,如果服务器端程序在绑定ip的时候是指定了本机ip,比如127.0.0.1,那么客户端...
disruptor框架为什么这么强大
笨狐狸
08-12 1万+
disruptor是LMAX的一个并发框架,在很难再继续压榨CPU的今天,disruptor显然又挑战了极限。LMAX可以达到单线程每秒6百万订单,用1微秒的延迟获得吞吐量为100K+。真是让人惊叹不已。     那么,disruptor到底为什么这么强大呢,有很多文章都对其进行了描述(见参考)。     归结下来有这么几点:     1. 弃用锁机制转而使用CAS。     Disrup
高并发风控技术解密(上)
笨狐狸
12-13 1万+
风控在任何一个公司都是比较神秘的存在,不仅线上很少分享,从安全角度讲也很少对外披露它的架构及设计。本人将就参与的风控建设谈谈风控的技术。(本文来源于内部分享PPT,限于篇幅,一些细节没能交待完整)   风控架构演进   经过1年多风控系统的建设,已经将公司内部风控系统从业务代码为主的风控架构改造为了平台化为主的2代架构,进而改造为了基于平台化的动态化及离线数据模型化的2.5代架构,正在向深
判断是否是整数,小数或实数
笨狐狸
03-14 1万+
经常会遇到这样的情况,需要判断一个字符串是否是一个合法的数,包括整数,小数或者实数。     网上查到很多文章大多是判断这个字符串是否全为数字,比如下面这段来自StringUtils的代码,可以看到,13.2这样的数字实际上会返回false,可是,他的确是一个数字。 public static boolean isNumeric(String str) { if (str
如何防止多次提交和重复刷新
笨狐狸
06-15 6347
多次提交和重复刷新是web程序中容易被忽视但是却很重要的地方。比如一段程序在提交后就会转账,如果没做任何处理,用户多次刷新就会造成多次实际的转账发生,这样的程序是不能接受的。     对于多次提交问题。可以针对终端用户分为恶意的和非恶意的。     非恶意的多次提交,可以发生的场景如下:     1. 响应太慢,用户不知道之前是否提交成功,于是再次提交     2. 用户无聊,连续随便点击
大佬一抓就死:互联网行业的魔咒
"从大佬一抓就死说起" 在互联网行业中,常常出现一种有趣但令人费解的现象,那就是“大佬一抓就死”。这种情况通常指的是,当公司的高层管理者,特别是那些成功的企业家,亲自介入某个新产品或项目的运营时,反而会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值