文件上传验证

最新推荐文章于 2023-07-17 08:00:00 发布
最新推荐文章于 2023-07-17 08:00:00 发布
阅读量666 收藏
点赞数
分类专栏: php积累
客户端文件上传校验 通过JS,浏览器对文件上传的校验只能做很少的事情,只能从字面上判断文件后缀名是否合法,或判断是否满足某文件名规则,不能判断文件是否存在或文件大小。JS可以调FileSystemObject这个AX控件访问文件系统,但只有IE系列的支持,且都有安全提示,或者直接被禁止掉。 且input file控件有个不好的地方,他会去检查你输入的(或选择)文件路径是否满足这个正则表达式:"/^.:/",即必须以windows的盘符开头,且紧接着冒号(C: Z: 1: $: *: 这些都可以),如不满足这个条件form直接提交不了,并不给出任何提示,不是很友好。如图,输入guide.html点提交是没有任何反应的。不知大家能否想出什么好办法。 [img width=300]http://iecom.baidu.com/uploads/newbb/1_47c91a91eabcd.gif[/img] 其实只要通过JS给guide.html前加上C:/就可以提交了,这样就可以到服务器端去验证文件是否存在,但fileUpload.value属性是只读的,也没办法。 如果上传的是图片就好办了,可以利用浏览器的Image对象操作图片(好像FireFox不支持, 百度 空间上的图片上传就是按照IE和FireFox分开做的),检查图片是否存在,图片格式是否正确,图片大小等,还可以做预览。具体JS代码网上到处都是。 还可以用FLASH做文件上传,可以做出非常炫的效果,比如进度条等,一个示例:http://em-dev01.baidu.com:2241/flashUpload/sample.html 2.PHP服务器端校验
  1. switch ($_FILES['userfile']['error']) {
  2. case UPLOAD_ERR_OK:
  3. $strData = file_get_contents($_FILES[userfile]['tmp_name']);
  4. if (strlen($strData) > 2097152) { // 2M
  5. // 报错:文件超过程序大小限制
  6. }
  7. if (strlen($strData) < 1) {
  8. // 报错:文件为空或者文件不存在
  9. }
  10. break;
  11. case UPLOAD_ERR_INI_SIZE:
  12. case UPLOAD_ERR_FORM_SIZE:
  13. // 报错:文件超过程序大小限制
  14. break;
  15. case UPLOAD_ERR_PARTIAL:
  16. // 报错:文件没有完整上传
  17. break;
  18. case UPLOAD_ERR_NO_FILE:
  19. // 报错:没有上传文件
  20. break;
  21. }
复制代码
以上是服务器端校验的基本框架,其中 $_FILES['userfile']['name'] 客户端机器文件的原名称。 $_FILES['userfile']['type'] 文件的 MIME 类型,需要浏览器提供该信息的支持,例如“image/gif”。 $_FILES['userfile']['size'] 已上传文件的大小,单位为字节。 $_FILES['userfile']['tmp_name'] 文件被上传后在服务端储存的临时文件名。 $_FILES['userfile']['error'] 其中$_FILES['userfile']['error']为: UPLOAD_ERR_OK: value为0,上传成功没错误 UPLOAD_ERR_INI_SIZE: value为1,上传文件超过php.ini中upload_max_filesize限制 UPLOAD_ERR_FORM_SIZE: value为2,上传文件超过提交的FORM中的MAX_FILE_SIZE变量限制 UPLOAD_ERR_PARTIAL: value为3,文件没有完整上传 UPLOAD_ERR_NO_FILE: value为4,没有文件上传 UPLOAD_ERR_NO_TMP_DIR: value为6,没找到临时目录 UPLOAD_ERR_CANT_WRITE: value为7,磁盘不能写 3.文件大小的校验  应用程序校验:在上传文件的form中添加一个隐藏域 此大小会在UPLOAD_ERR_FORM_SIZE错误中进行校验,value的单位是字节。为保险还可以在PHP读上传临时文件时读取文件大小进行检查。  php.ini中upload_max_filesize设置,默认2M吧。  php.ini中post_max_size设置,默认8M吧。这个配置设置post包大小,上传文件肯定不能大于此值,否则POST包被清空,$_POST和$_FILES都会被清空,但$_GET仍然存在。  php.ini中memory_limit设置,默认8M吧。一个php脚本能使用的最大内存值吧。 正常情况下:memory_limit >= post_max_size > upload_max_filesize > 应用程序校验。 4.大小校验中常见问题 当用户上传一个大文件时,会等待很久,等文件全部上传完毕后PHP才会开始校验,不知道有没有什么好的解决方法。当文件大小超过或接近post_max_size大小时,$_POST和$_FILES都会被清空,因此我们需要判断到底是上传文件过大还是根本就没有POST文件上传。虽然$_POST被清空了,但$_GET还存在,因此可以在form的action中添加一个get参数来判断,如:
…… if ((empty($_FILES) || empty($_POST)) && $_GET['up'] == 1) { // 上传文件过大,超过post限制 } 当用户在input file中输入了一个不存在的文件路径(以盘符+冒号开头,可以提交),提交到服务器端后,switch($_FILES['userfile']['error'])会case到UPLOAD_ERR_OK,$_FILES的其他参数都很正常,就$_FILES['userfile']['size']为0,因此只能用他来判断,且只能判断出文件不存在或文件内容为空(好像不能区分出来)
皮子2
关注
专栏目录
上传文件验证表单
11-05
这是一个带上传功能的表单验证页面,采用bootstrap完成页面排版,上传文件是使用的Webuploader插件,表单验证基本功能已实现。
数据校验及文件上传
最新发布
whs_8792的博客
08-06 909
1.导入相关jar包2.网页端的要求3.在springMVC配置文件上传解析器4.Controller控制层处理。
文件上传方法验证
SYTyu的博客
10-15 176
文件上传,下载自动化测试时发现,无法找到以下窗口的控件,搜索后才知道原来是浏览器的对象无法识别windows的控件。 于是找到一篇看着比较靠谱的博文打算试一试: https://www.cnblogs.com/ITester520/p/13203341.html 不过这篇博文的方法更全: https://blog.csdn.net/huilan_same/article/details/52439546 使用第一篇博文中的pywin32方式: 测试网站:https://smallpdf.com/cn/j
文件上传之类型验证
yssa1125001的博客
12-18 1710
实际项目中,文件类型的确定绝对不能仅仅依靠后缀名,因为很多攻击方式都是通过把可执行文件弄个其他的后缀名然后上传服务器进行攻击的,所以必须使用文件头魔数来进行文件类型的确定才可以。。。 以下 验证类如下:(验证类比照大神写的,留作备份!) import java.io.FileInputStream; import java.io.FileNotFoundException; impo...
表单正则验证文件上传验证功能
10-19
除了表单信息验证外,文件上传验证也是安全性要求较高的功能之一。在文件上传时,需要对文件名的后缀和文件的大小进行验证。这样可以防止用户上传恶意文件,比如木马、病毒等,确保服务器的安全。 以下是一段PHP...
php实现文件上传基本验证
10-15
为了更安全,你还需要考虑其他因素,如防止文件覆盖、验证文件内容(例如,检查图片是否真的为图片)、限制文件类型的严格性(可能使用MIME类型验证而非扩展名),以及考虑文件上传的权限和安全性问题。 总之,PHP...
上传图片前判断文件格式与大小验证文件是不是图片
01-02
最近工作中需要做一个上传图片的功能,既然上传的是图片,那么就应该在上传之前对文件进行一下验证,看看要上传的是不是图片文件。所以在上传之前要对所选文件的格式进行验证。上传图片时因为服务器资源有限,经常会...
多个上传文件用js验证文件的格式和大小的方法(推荐)
10-20
本文将介绍如何使用JavaScript来验证多个上传文件的格式和大小,确保文件上传的有效性和安全性。 首先,文件上传功能通常需要一个表单(form)以及一个或多个文件输入元素(input type="file")。为了验证文件,...
文件上传验证大小类型)
05-13
java实现各种文件上传验证大小,文件类型是否规范
java如何实现判断文件的真实类型
08-29
本篇文章主要介绍了java如何实现判断文件的真实类型,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
上传图片验证
寒色博客
10-13 1689
<br />----------------------------------主体程序片段-------------------------------------------------------------------- <br /> string fileNameExt = postFile.FileName.Substring(postFile.FileName.LastIndexOf('.')).ToLower();<br />                             i
文件上传漏洞 解析、验证、伪造(一)
qq_58000413的博客
09-27 613
通过设置web容器规则,文件夹密码保护、用户自定义重定向、自定义404页面、扩展名伪静态、禁止特定IP地址的用户,禁止目录列表。echo 123>a.txt:b.txt 则123写到了b.txt中,且文件夹中无法找到b.txt。非法网站 -> 大型互联网 -> 小型互联网 -> 大型实体 -> 小型实体 -> 托管式网站。文件实际是以::$DATA结束的 1.txt::$DATA。前端:html、css、js(利用前端来校验,你的浏览器上运行的)
文件上传中的文件头检查
weixin_43326436的博客
06-01 2532
一. 文件头检查是指当浏览器上传到服务器的时候,白名单进行的文件头检测,符合,则允许上传,否则不允许上传。 二. 实验环境ctfhub文件头检查 三. 实验步骤 1.先将一句话木马写入,文件后缀为png格式 2.用winhex打开,找到你所改成图片的文件头(例如我想改成的是png格式,也可以jpg等,png图片的格式头是89504E47),只要将其放在文件头部(也就是放在一句话的前面),保存即可。 3.上传,用bp抓包,然后修改成.php格式,放包即可,用蚁剑连接即可。找到flag 注:如有错误或者问题请
35:登录验证文件上传
weixin_57017198的博客
07-17 153
登录验证文件上传是Web应用程序中常见的功能之一。下面是关于登录验证文件上传的一些要点:登录验证:登录验证是确保用户身份合法性和保护用户数据安全的重要步骤。文件上传文件上传允许用户将文件从客户端上传到服务器端。综上所述,登录验证文件上传是构建安全和功能丰富的Web应用程序的重要组成部分。通过合适的登录验证文件上传机制,可以确保用户身份的合法性和保护用户上传文件的安全性。
文件上传的几种验证方式【萌新】
Leep0rt的博客
09-04 2067
部分内容转载自其它博客 新手向 包含错误 多多谅解
验证码及文件上传
yang_zhong_rong的博客
06-09 282
servlet 验证码及文件上传案例 下面的代码块是生成验证码的工具类 package com.example.homework0525; /** * @author 杨忠荣 * @create 2021-05-25-14:31 */ import javax.imageio.ImageIO; import javax.servlet.*; import javax.servlet.http.*; import javax.servlet.annotation.*; import java.awt.
joi实现文件上传验证
03-30
Joi 是一个 Node.js 模块,用于验证 JavaScript 对象的结构。它提供了一组易于使用的功能来构建强大的验证规则。要实现文件上传验证,可以使用 Joi 的 `file()` 方法来定义文件上传验证规则。 以下是一个示例代码,演示如何使用 Joi 来验证文件上传: ```javascript const Joi = require('joi'); // 定义文件上传验证规则 const fileValidationSchema = Joi.object({ file: Joi.object({ name: Joi.string().required(), size: Joi.number().max(1000000).required(), mimetype: Joi.string().valid('image/png', 'image/jpeg', 'image/jpg').required() }).required() }); // 处理文件上传请求 app.post('/upload', (req, res) => { // 验证上传的文件是否符合规则 const { error } = fileValidationSchema.validate(req.files); if (error) { // 如果文件不符合规则,返回错误信息 res.status(400).send(error.details[0].message); } else { // 如果文件符合规则,上传文件 // ... } }); ``` 以上代码中,`fileValidationSchema` 定义了文件上传验证规则。在 `fileValidationSchema` 中,我们定义了 `file` 对象,包含了文件的名称、大小和 MIME 类型。我们使用 `required()` 方法来指定这些属性是必需的,并使用 `max()` 和 `valid()` 方法来限制文件的大小和 MIME 类型。 在处理文件上传请求时,我们使用 `validate()` 方法来验证上传的文件是否符合规则。如果文件不符合规则,我们返回错误信息;否则,我们将文件上传到服务器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值