php上传文件过滤_文件上传过滤

最新推荐文章于 2023-10-25 22:19:57 发布
最新推荐文章于 2023-10-25 22:19:57 发布
阅读量476 收藏
点赞数
文章标签: php上传文件过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39827315/article/details/115099860
版权

'先作一个文件名检验函数。过虑掉所有有危险的东西。

Function chkfileExt(savefilename)

feifaExt="html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|

ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis"

fExt = Split(feifaExt, "|")

For i = 0 To UBound(fExt)

If instr(savefilename,fExt(i))>0 Then '检测是否存在非法字符。

response.write("非法的文件格式!")

Response.End

End If

Next

End Function

set upload=new upload_file

if upload.form("act")="uploadfile" then

filepath=trim(upload.form("filepath"))

filelx=trim(upload.form("filelx"))

filepath=replace(filepath,chr(0),"")

'注意这里。替换掉chr(0)。该程序是把木马名称放在这里的。如果你只检验扩展名是没有用的。程序会传一个变量就是diy.asp&chr(0) 这个chr(0)是什么我不太清楚好像是一个停止符号。ASCII码表中对应的是“NUT”。大家可以试一下 response.write "abc.asp"&chr(0)&"03i320923.jpg" 显示的结果就是“abc.asp” 该程序就是通过这种办法绕过去的。

i=0

for each formName in upload.File

set file=upload.File(formName)

fileExt=lcase(file.FileExt) '得到的文件扩展名不含有.

if file.filesize>(1024*1024) then

response.write "最大只能上传 1M 的文件! [ 重新上传 ]"

response.end

end if

randomize

ranNum=int(90000*rnd)+10000

filename=filepath&year(now)&"_"&month(now)&"_"&day(now)&"_"&hour(now)&"_"&minute(now)&"_"&second(now)&"_"&ranNum&"."&fileExt

if file.FileSize>0 then

call chkfileExt(FileName)

'这里我们检验的是整个保存地址。如果存在非法字符就报警并停止。

file.SaveToFile Server.mappath(FileName)

response.write "

response.write "window.opener.document."&upload.form("FormName")&"."&upload.form("EditName")&".value='"&FileName&"';"

response.write "window.alert(""文件上传成功!请不要修改生成的链接地址!"");"

response.write "window.close();"

response.write ""

end if

set file=nothing

next

set upload=nothing

end if

%>

weixin_39827315
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php判断文件类型及过滤不安全数据的方法
10-25
主要介绍了php判断文件类型及过滤不安全数据的方法,可实现对$_COOKIE、$_POST、$_GET中不安全字符的过滤功能,非常具有实用价值,需要的朋友可以参考下
前端Javascript+Html5+后端PHP分块上文件
08-04
前端Javascript+Html5+后端PHP分块上文件PHP分块上文件,该项目可以正常运行,入口为index.html,需要正确配置fileDir的读写权限 目前有测试过上1.5G左右的没有问题(未测试更大的文件),理论上更大的...
php文件怎么过滤,二十:文件基础及过滤方式
weixin_35810012的博客
03-19 437
什么是文件漏洞文件漏洞是指由于程序员在对用户上部分控制不足或者处理缺陷,导致用户可以越权向服务器上可执行的动态脚本文件。这里的上可以是木马,病毒恶意脚本,或者webshell等。文件本身并无问题,问题是服务器怎么处理解析文件。什么是webshellwebshell就是以asp,php,jsp等网页文件形式存在的一种命令执行环境。也可以称为一种网页后门。在入侵一个网站后,会将这些a...
php文件过滤_php判断文件类型及过滤不安全数据的方法
weixin_30569923的博客
03-09 232
本文实例讲述了php判断文件类型及过滤不安全数据的方法。分享给大家供大家参考。具体如下:禁止上除图片文件以外的文件,提示,不要获取文件扩展名来判断类型,这样是最不安全的,我们用$_FIlES['form']['type'].这个可以读取文件内容来识别文件类型,但它能识别的有限,不过如果你用图片就足够了解.函数,过滤不安全字符,实例函数代码如下:function s_addslashes($s...
php文件过滤_PHP文件上载过滤
weixin_30296797的博客
03-09 157
PHP文件下载过滤类setFilter($fileFilter);$this->setDebug($isDebug);$this->setFileType();}function downloadfile($filename){$this->fileName= $filename;if($this->filecheck()){$fn= basename($this->...
php文件过滤_php文件
weixin_32024145的博客
03-09 279
网站经常有上文件到服务器的需求,如下代码:enctype="multipart/form-data"> //enctype 属性规定了在提交表单时要使用哪种内容类型。如果是二进制文件,必须使用 "multipart/form-data"。Filename:编写do_file.php来处理上请求,$_FILES可以获取上文件,如代码:/*** $_FILES是php中存储各种与上文件...
php文件过滤_编写PHP脚本过滤用户上的图片
weixin_39728124的博客
03-09 144
我在phpclasses.org上面偶然发现一个很有用的,由Bakr Alsharif开发的可以帮助开发者基于皮肤像素点来检测图片裸照的类文件.它会分析在一张图片的不同部分使用的颜色,并决定其是否匹配人类皮肤颜色的色调.作为分析的结果,他会返回一个反映图片包含裸露的可能性的分值.此外,他还可以输出被分析的图片,上面对使用给定颜色的肤色的像素进行了标记.当前它可以对PNG,GIF和JPEG图片进行分...
PHP文件判断file是否己选择上文件的方法
12-18
一个合格的程序员在实现数据入库中时我们都会有一些非常严密的过滤与数据规则,像我们文件时在前段要判断用户是否选择上文件同时在后台也可判断是否有上文件,本文实例即对此做一较为深入的分析。...
php文件
05-05
php 文件 前后台过滤 php面向过程 和面向对象的上和下载类
php文件过滤_php – 这是上文件的一个很好的过滤器吗?
weixin_32256861的博客
03-09 120
我有一个网站,用户可以将文件到子目录.我正在过滤检查潜在的恶意代码.我是安全方面的新手,所以这看起来像是保护上到服务器的最佳做法吗?如果没有,或者我错过了什么,你能指出我正确的方向吗?//arrays with acceptable file extensions/types -- default validations set to false$acceptable_ext = arr...
文件基础及过滤方式
硫酸超的博客
08-09 908
文件基础及过滤方式什么是文件漏洞?文件漏洞有哪些危害?文件漏洞如何查找及判断?文件漏洞有哪些需要注意的地方?关于文件漏洞在实际应用中的说明?演示案例常规文件地址的获取说明不同格式下的文件类型后门测试配合解析漏洞下的文件类型后门测试本地文件漏洞靶场环境搭建测试某 CMS 及 CVE 编号文件漏洞测试 什么是文件漏洞? 凡是存在文件的地方它均有可能存在文件漏洞,关于上文件操作的时候对方代码写的是否完整、是否安全,一旦疏忽了某个地方可能会造成文件漏洞。 文件
php文件名进行过滤,利用 python 对目录下的文件进行过滤删除实例详解
weixin_42504327的博客
03-28 237
本文主要给大家介绍了关于如何利用 python 对目录下的文件进行过滤删除的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。希望能帮助到大家。前言最近学习了python,感觉挺多地方能用到它的。打包 测试 上 爬电影....而且代码量是真少。人生苦短,我用python。而今天写的这个是因为下载电影时总会发现除了视频还...
PHP图片过滤exe文件的三种方式
一曲微茫度此生
08-04 519
图片过滤exe文件的三种方式: 方式一:addslashes() 以 C 语言风格使用反斜线转义字符串中的字符 <?php echo addcslashes('../images/a.jpg', 'A..z'); // 输出:../\i\m\a\g\e\s/\a.\j\p\g // 所有大小写字母均被转义 // ... 但 [\]^_` 以及分隔符、换行符、回车符等也一并被转义了。...
JavaWeb之filter&listener&文件
tysearch的博客
05-26 597
JavaWeb之filter&listener&文件一、filter1.1 过滤器的基本概述:1.2 过滤器快速使用1.2.1 编码步骤1.2.2 Filter配置1.2.3 Filter执行过程1.3 Filter的生命周期1.4 拦截方式配置1.5 Filter与servlet的区别二、监听器——Listener2.1 Listener概述三、文件3.1 文件概述3.2 常见的文件技术3.3 文件浏览器前提3.4 使用commons-fileupload方式上3.5
php文件读取过滤方法,php fgetss读取文件过滤掉HTML标签
weixin_39759918的博客
03-10 213
php fgetss函数介绍fgetss — 从文件指针中读取一行并过滤掉HTML标签语法:string fgetss ( resource $handle [, int $length [, string $allowable_tags ]] )和 fgets() 相同,只除了 fgetss() 尝试从读取的文本中去掉任何 HTML 和 PHP 标记。参数:handle 文件指针必须是有效的,必...
php文件读取过滤方法,示例分享php通过两层过滤获取留言内容的方法
weixin_33169898的博客
03-10 140
php通过两层过滤获取留言内容的方法本文实例讲述了php通过两层过滤获取留言内容的方法。分享给大家供大家参考,具体如下://两层过滤,获取留言的内容$str='测试文字1楼主留言:测试文字2..';//$str='厉害';//preg_match("/[^.*](style=\"font-size:14px;line-height:150%;padding:10px;\">)(.*).*$/...
安全开发-PHP应用&文件管理模块&显示上&黑白名单类型过滤&访问控制
最新发布
m0_69440276的博客
10-25 131
1、黑名单过滤,不允许上的后缀(php,asp....)2.白名单过滤,允许上的后缀(jpg,png...)当然上述三种方法都能绕过,后续介绍绕过机制。功能:显示、上、下载、删除、编辑、包含等。
文件漏洞笔记
感恩
10-09 165
文件漏洞笔记
nginx 上文件漏洞_1.2 文件之解析漏洞
05-15
这种漏洞的成因是上模块在解析上请求时没有对上文件的内容进行充分的检查和过滤,导致攻击者可以在上文件中嵌入恶意代码,然后通过上请求执行该代码。 具体来说,攻击者可以通过构造上请求,将上的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值