asp.net上传文件时检测文件类型方法小结

上传文件检测类型到目前为止我只看到过3种,第一种是检测文件的后缀名;第二种是检测文件的头部编码,不同类型文件的头部编码是不一样的(比如255216是jpg,7173是gif,6677是BMP,13780是PNG,7790是exe,8297是rar等);第三中是检测文件的MIME内容类型。这篇文章代码多有参考网络,特此说明。


前台文件:三种方法的前台文件是一样的.
<%@ Page Language="C#" AutoEventWireup="true"   CodeFile="Default.aspx.cs" Inherits="_Default" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" >
<head runat="server">
     <title>无标题页</title>
</head>
<body>
     <form id="form1" runat="server">
     <div>
         <asp:FileUpload ID="FileUpload1" runat="server" />
         <asp:Button ID="btn_upload" runat="server" OnClick="btn_upload_Click" Text="上传" />
     </div>
     </form>
</body>
</html>


后台文件:

第一种方法:安全性相对第二种低,把文本文件1.txt改成1.jpg照样可以上传,但其实现方法容易理解,实现也简单,所以网上很多还是采取这种方法。
public partial class _Default : System.Web.UI.Page 
{
     protected void btn_upload_Click(object sender, EventArgs e)
     {
         Boolean fileOk = false;
         string path = Server.MapPath("~/images/");
         //判断是否已经选取文件
         if (FileUpload1.HasFile)
         {
             //取得文件的扩展名,并转换成小写
             string fileExtension = System.IO.Path.GetExtension(FileUpload1.FileName).ToLower();
             //限定只能上传jpg和gif图片
             string[] allowExtension = { ".jpg", ".gif" };
             //对上传的文件的类型进行一个个匹对
             for (int i = 0; i < allowExtension.Length; i++)
             {
                 if (fileExtension == allowExtension[i])
                 {
                     fileOk = true;
                     break;
                 }
             }
         }
         else
         {
             Response.Write("<script>alert('你还没有选择文件');</script>");
         }
         //如果扩展名符合条件,则上传
         if (fileOk)
         {
             FileUpload1.PostedFile.SaveAs(path + FileUpload1.FileName);
             Response.Write("<script>alert('上传成功');</script>");
         }
     }
}

第二种方法,可以实现真正意义上的文件类型判断。
public partial class _Default : System.Web.UI.Page 
{
      protected void btn_upload_Click(object sender, EventArgs e)
     {
         try
         {
             //判断是否已经选取文件
             if (FileUpload1.HasFile)
             {
                 if (IsAllowedExtension(FileUpload1))
                 {
                     string path = Server.MapPath("~/images/");
                     FileUpload1.PostedFile.SaveAs(path + FileUpload1.FileName);
                     Response.Write("<script>alert('上传成功');</script>");
                 }
                 else
                 {
                     Response.Write("<script>alert('您只能上传jpg或者gif图片');</script>");
                 }

             }
             else
             {
                 Response.Write("<script>alert('你还没有选择文件');</script>");
             }
         }
         catch (Exception error)
         {
             Response.Write(error.ToString());
         }
     }
     //真正判断文件类型的关键函数
     public static bool IsAllowedExtension(FileUpload hifile)
     {
         System.IO.FileStream fs = new System.IO.FileStream(hifile.PostedFile.FileName, System.IO.FileMode.Open, System.IO.FileAccess.Read);
         System.IO.BinaryReader r = new System.IO.BinaryReader(fs);
         string fileclass = "";
        //这里的位长要具体判断.
         byte buffer;
         try
         {
             buffer = r.ReadByte();
             fileclass = buffer.ToString();
             buffer = r.ReadByte();
             fileclass += buffer.ToString();

         }
         catch
         {

         }
         r.Close();
         fs.Close();
         if (fileclass == "255216" || fileclass == "7173")//说明255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rar
         {
             return true;
         }
         else
         {
             return false;
         }

     }
}
但缺点是FileStream只能访问本地文件,不能访问远程文件(请高人指点)。本人在本地测试没问题,但传到服务器上就出错,提示找不到文件。最后将System.IO.FileStream fs = new System.IO.FileStream(hifile.PostedFile.FileName, System.IO.FileMode.Open, System.IO.FileAccess.Read);
换成System.IO.Stream fs = hifile.PostedFile.InputStream;也不行。无奈只好放弃这方法。

 

第三种方法,其实是第一种方法的改进,把文本文件1.txt改成1.jpg不能上传了,不检测文件后缀而是检测文件MIME内容类型。
public partial class _Default : System.Web.UI.Page 
{
     protected void btn_upload_Click(object sender, EventArgs e)
     {
         Boolean fileOk = false;
         string path = Server.MapPath("~/images/");
         //判断是否已经选取文件
         if (FileUpload1.HasFile)
         {
             //取得文件MIME内容类型
              string type = this.uploadfile.PostedFile.ContentType.ToLower();

              if (type.Contains("image"))    //图片的MIME类型为"image/xxx",这里只判断是否图片。

              {

                     fileOk = true;

              }

         }
         else
         {
             Response.Write("<script>alert('你还没有选择文件');</script>");
         }
         //如果扩展名符合条件,则上传
         if (fileOk)
         {
             FileUpload1.PostedFile.SaveAs(path + FileUpload1.FileName);
             Response.Write("<script>alert('上传成功');</script>");
         }
     }
}

总结:方法一虽然简单,但安全性不够;方法二虽然安全性没问题,但FileStream不能访问远程文件;方法三安全性应该与方法二相当,而且实现也简单,建议使用。本人负责维护的网站126家具材料网也是用方法三。

posted @ 2010-08-11 09:44  cjg123456we  阅读(1130)  评论(0编辑  收藏  举报