PHP安全新闻早8点_1120

'2011-11-20 星期日 
'插入篇---asp篇 
'程序员的思维  
'Micropoor.asp代码片段 
<%  
dim upload,file,formName,formPath,iCount,fileformat  
//......略  
    end function   
formPath="2010/"  
//......略  
 set file=upload.file(formName)  ''生成一个文件对象  
//......略  
 if fileformat=".asp" or fileformat=".exe" or fileformat=".txt" or fileformat=".htm" then  
   response.write"<script>alert('文件格式不对，请重新上传！');location='"&request.ServerVariables("HTTP_REFERER")&"'</script>"  
    response.end  
end if   
 if file.FileSize>0 then         ''如果 FileSize > 0 说明有文件数据  
newname=MakedownName()&"."&mid(file.FileName,InStrRev(file.FileName, ".")+1)  
 file.SaveAs Server.mappath(formPath&newname)   ''保存文件  
 //  ...... 略  
next  
%> 
 
'我们的思维 
仅仅是过滤了asp,exe,txt,htm并没有过滤cer,asa,php,aspx等