文件上传防止攻击的操作

于 2020-04-22 23:03:28 发布
阅读量2.2k 收藏
点赞数
分类专栏: 面试相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33229669/article/details/105695427
版权

在网站中允许用户上传文件, 上传的文件可能是可执行的脚本, 病毒或者木马文件. 可能会黑掉项目或者数据库.

即使做了文件的后缀限制,但黑客可能也会把病毒的后缀改成常用的文件名后缀, 上传到系统后对系统进行攻击. .

解决的方案

  1. 读取这个文件的二进制数据流,根据文件的二进制数据的开头的几个字节代表的magic number来判断文件的类型
    例如class文件的魔数为 0x CAFEBABE开头
  2. 限制上传文件的大小
  3. 对文件进行重命名
  4. 对文件进行压缩, 破坏原文件内部的结构,防止病毒脚本的执行. 例如可以利用ImageMagick开源包对图片进行处理
java持续实践
关注
专栏目录
博客
java 长连接中的sse与websocket含义, 两者的区别
09-10 654
Java的长连接中,SSE(服务器发送事件,Server-Sent Events)和WebSocket是两种常用的技术,它们都用于在客户端和服务器之间保持长时间的连接,以实现实时数据传输。
博客
如何成为一个厉害的人
07-17 206
要变得厉害,需要不断学习和实践。通过以上方法,逐步提升自己的知识和技能,相信你也可以变得非常厉害。
博客
B树与B+树的区别
07-14 491
辅助索引(Secondary Index)也是 B+树结构,但叶子节点存储的是主键的值而不是行的全部数据。B+树:由于内部节点只有索引而无数据,可以在相同的磁盘块中存储更多的索引,提高了读写效率。B+树:所有数据都在叶子节点,内部节点只起到索引的作用。B+树:所有数据都集中在叶子节点,内部节点只存储索引,因此树的高度通常较低。B树:因为每个节点都存储数据和索引,磁盘读写可能涉及到更多的节点。B树:由于数据分布在所有节点上,树的高度可能会比 B+树略高。B树:数据可以在任何节点(内部节点或叶子节点)中找到。
博客
com.fasterxml.jackson.core.JsonParseException: Invalid UTF-8 start byte 0x94 解决办法 feign加拦截器
07-09 422
原因是目标feign接口的服务有一个拦截器, 会去请求头中获取用户名, 而我的请求没有加上这个请求头, 导致被拦截器拦截, 直接返回的中文字符串, 不是json ,从而报错.但是用postman单独去请求目标的feign的接口的时候, 是正常返回的json数据. 说明请求的feign接口是没有问题的.加上此拦截器后, 再次请求feign接口 , 打印的日志feign接口返回的是一个中文的报错信息 ,而不是json , 因此报了。请求feign接口的时候, 把请求头。加上用户名, 即可解决。
博客
could not find artifact avalon-framework:avalon-framework-api:pom:4.1.5-dev 解决办法
04-18 445
然后进入本地仓库的avalon-framework-api文件夹,修改maven-metadata-central.xml文件, 把里面的version只保留4.1.5。进入本地maven仓库, 修改proxool-0.9.1.pom文件, 把avalon-framework-api的版本, 直接指定为4.1.5。[4.1.5,) 这种写法就是坑爹的地方了. 导致会去加载4.1.5-dev版本, 而中央仓库没有4.1.5-dev版本.直接点击proxool 即可跳转到pom.xml中的依赖。
博客
maven手动上传的第三方包 打包项目报错 Could not find xxx in central 解决办法
03-19 286
在Maven私服手动上传了第三方的jar包, 只有jar包, 没有pom文件, 项目在ide中可以正常编译启动,但打包报错无法找到jar包。解决办法: 上传jar包的时候, 点击生成pom. 则打包的时候不会报错。
博客
Java判断是否有特殊字符串
11-03 1089
【代码】Java判断是否有特殊字符串。
博客
OkHttpClient 发送请求示例
06-08 384
【代码】OkHttpClient 发送请求示例。
博客
接口优化的18种方法
04-07 374
接口优化的18种方法。
博客
git 从tag中拉取新的分支
03-31 282
拉取最新代码git pull切到指定的 taggit checkout <tag-name>新建分支git switch -c <new-branch-name>
博客
mac homebrew fatal: not in a git directory
02-19 985
问题: 在用homebrew安装软件时, 提示报错。设置完毕后, 即可解决报错,成功安装。按照上面的提示, 在终端上执行命令。
博客
mysql order by 多字段分组取最大值
02-10 470
【代码】mysql order by 多字段分组取最大值。
博客
excel 拼接单引号
01-29 1239
【代码】excel 拼接单引号。
博客
excel 中使用vlookup函数
01-12 349
将函数所在单元格的格式改为常规或数值格式,并点击F2或者点击一下编辑栏,再点击Enter即可。选中顶行单元格,滚动条滚动到底部,按着Shift键选中底部单元格,Ctrl+D即可填充。使用函数后不显示只显示公式处理办法。vlookup函数使用方法。
博客
excel 生成sql
01-12 336
【代码】excel 生成sql。
博客
MySQL 修改默认值
12-01 603
【代码】MySQL 修改默认值。
博客
线性表01- 数组与简易接口设计
11-29 603
线性表: 具有n个相同类型元素的有限序列 n>=0线性表的元素特点是有索引, 可以通过索引快速查找到元素.a1是a2的前驱, a2是a1的后继常见的线性表数组链表栈队列哈希表 (散列表)
博客
TypeReference 用于复杂对象反序列化
11-28 654
TypeReference 中写上要反序列化的泛型。
博客
删除数据库中重复数据
11-18 530
delete from form where id not in (select min(id) from form group by parent_id, tenant_id);
博客
java正则表达式校验是否特殊字符以及空格
10-11 4037
【代码】java正则表达式校验是否特殊字符以及空格。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值