C#判断上传文件是否是图片以防止木马上传的方法
很多时候木马程序会伪装成其他格式的文件上传到网站,最常见的如图片格式。本文就以C#为例讲述C#判断上传文件是否是图片以防止木马上传的方法,具体方法如下:
方法一:用image对象判断是否为图片
///<summary>
///判断文件是否为图片
///</summary>
///<paramname="path">文件的完整路径</param>
///<returns>返回结果</returns>
publicBooleanIsImage(stringpath)
{
try
{
System.Drawing.Imageimg=System.Drawing.Image.FromFile(path);
returntrue;
}
catch(Exceptione)
{
returnfalse;
}
}
方法二,判断文件头
///<summary>
///根据文件头判断上传的文件类型
///</summary>
///<paramname="filePath">filePath是文件的完整路径</param>
///<returns>返回true或false</returns>
privateboolIsPicture(stringfilePath)
{
try
{
FileStreamfs=newFileStream(filePath,FileMode.Open,FileAccess.Read);
BinaryReaderreader=newBinaryReader(fs);
stringfileClass;
bytebuffer;
buffer=reader.ReadByte();
fileClass=buffer.ToString();
buffer=reader.ReadByte();
fileClass+=buffer.ToString();
reader.Close();
fs.Close();
if(fileClass=="255216"||fileClass=="7173"||fileClass=="13780"||fileClass=="6677")
//255216是jpg;7173是gif;6677是BMP,13780是PNG;7790是exe,8297是rar
{
returntrue;
}
else
{
returnfalse;
}
}
catch
{
returnfalse;
}
}
测试显示方法二针对常规修改的木马有效,也就是直接修改扩展名的,比如把.asp改成.jpg这种。但是对于那种用工具生成的jpg木马则没有效果。此时推荐大家使用第一种方法。