判断上传的文件是否为图片

前段时间,公司几年前开发的站点受到了攻击,不是SQL注入的攻击,而是aspxspy的攻击,这是一个ASP的页面,以运行CmdShell的方式来获取服务器的信息,但是以后缀名为jpg的文件保存,将其伪装成图片上传至服务器,然后就开始读取服务器上的所有信息,如果在开发的时候就对服务器上各个文件夹的权限做了详细的设置的话,这个程序倒是没有权限去更改服务器上的文件,但是发生这种情况最根本的源头就是未对上传的文件类型做判断,不是简单的去判断文件的后缀名,而是进一步的判断某一文件是否为允许上传的文件类型,具体针对图片的判断其实很简单,用下面的代码就可以简单解决:

复制代码
View Code
 1 private bool IsImage(string filePath)
2 {
3 Image image;
4 try
5 {
6 image = Image.FromFile(filePath);
7 image.Dispose();
8 return true;
9 }
10 catch (Exception ex)
11 {
12 return false;
13 }
14 }
复制代码

这段代码需要添加对System.Drawing命名空间的引用,现在再测试,如果不是图片,但是后缀名是图片格式的文件,一律都逃不掉。

posted @   Statmoon  阅读(4072)  评论(0编辑  收藏  举报
编辑推荐:
· Linux glibc自带哈希表的用例及性能测试
· 深入理解 Mybatis 分库分表执行原理
· 如何打造一个高并发系统?
· .NET Core GC压缩(compact_phase)底层原理浅谈
· 现代计算机视觉入门之:什么是图片特征编码
阅读排行:
· 手把手教你在本地部署DeepSeek R1,搭建web-ui ,建议收藏!
· Spring AI + Ollama 实现 deepseek-r1 的API服务和调用
· 数据库服务器 SQL Server 版本升级公告
· 程序员常用高效实用工具推荐,办公效率提升利器!
· C#/.NET/.NET Core技术前沿周刊 | 第 23 期(2025年1.20-1.26)
点击右上角即可分享
微信分享提示