網站曾經被上傳一個.asa文件,修改後綴名為.rar然後逃過了我的簡單後綴名判斷。
結果網站被掛馬,幸虧麻煩不大,現在已經加上真實文件類型判斷了,安全多了。
大氣象
<%@ Page Language="C#" AutoEventWireup="true" CodeFile="TrueFile.aspx.cs" Inherits="test_TrueFile" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" >
<head runat="server">
<title>無標題頁</title>
</head>
<body>
<form id="form1" runat="server">
<div>
<asp:FileUpload ID="uploadFile" runat="server" />
<asp:Button ID="btnOk" runat="server" Text="判斷" OnClick="btnOk_Click" />
</div>
</form>
</body>
</html>
大氣象
using System;
using System.Data;
using System.Configuration;
using System.Collections;
using
