javaWeb作业之文件上传与下载(预防文件上传安全漏洞)

最新推荐文章于 2025-06-25 11:37:15 发布
最新推荐文章于 2025-06-25 11:37:15 发布
阅读量5.2k 收藏 7
点赞数 2
CC 4.0 BY-SA版权
分类专栏: java servlet javaWeb JavaWeb基础 文件上传与下载 文件上传漏洞安全防御 文章标签: java javaWeb 文件上传与下载 文件上传漏洞安全防御
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013110682/article/details/79918728
本文介绍如何在JavaWeb应用中实现文件上传与下载,强调预防文件上传安全漏洞,包括将上传目录设置为不可直接访问、确保文件名唯一、避免文件过多、限制文件大小、处理未上传的字段及临时文件管理。同时提到了使用Apache Commons FileUpload库的相关配置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、实现文件上传与下载

   a、保证服务器的安全

把保存上传文件的目录放在用户直接访问不到的地方。

   b、避免文件被覆盖

让文件名唯一即可

   c、避免同一个文件夹中的文件过多

方案一:按照日期进行打散存储目录

方案二:用文件名的hashCode计算打散的存储目录:二级目录

   d、限制文件的大小:web方式不适合上传大的文件

单个文件大小:

ServletFileUpload.setFileSizeMax(字节)

总文件大小:(多文件上传)

ServletFileUpload.setSizeMax(字节)

 

e、上传字段用户没有上传的问题

通过判断文件名是否为空即可

f、临时文件的问题

DiskFileItemFactory:

作用:产生FileItem对象

内部有一个缓存,缓存大小默认是10Kb。如果上传的文件超过10Kb,用磁盘作为缓存。

存放缓存文件的目录在哪里?默认是系统的临时目录。

 

如果自己用IO流实现的文件上传,要在流关闭后,清理临时文件。

FileItem.delete();

 1、首先要准备一下需要用到的jar包。 

  2、 源代码:

<%@ page language="java" contentType="text/html; charset=UTF-8"
	pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<script type="text/javascript">
	function addFile(){
		//得到div容器
		var div1 = document.getElementById("div1");
		div1.innerHTML +=  "<div><input type='file' name='photo' /><input type='button' value='删除' onclick='delFile(this)'/><br /></div>";
	}
	
	function delFile(input){
		//使用input对象的爷爷删除他的爸爸
		input.parentNode.parentNode.removeChild(input.parentNode);
	}
</script>
<body>
	<form enctype="multipart/form-data"
		action="${pageContext.request.contextPath }/servlet/uploadServlet2"
		method="post">
		<input type="text" name="name" /><br />
		<div id="div1">
			<div>
				<input type="file" name="photo" /><input type="button" value="添加" onclick="addFile()"/><br />
			</div>
			
		</div>
		<input type="submit" value="上传" /><br />
	</form>
</body>
</html>
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5" 
	xmlns="http://java.sun.com/xml/ns/javaee" 
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
	http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
  <display-name></display-name>
  <servlet>
    <servlet-name>UploadServlet1</servlet-name>
    <servlet-class>com.itheima.upload.UploadServlet1</servlet-class>
  </servlet>
  <servlet>
    <servlet-name>UploadServlet2</servlet-name>
    <servlet-class>com.itheima.upload.UploadServlet2</servlet-class>
  </servlet>


  <servlet-mapping>
    <servlet-name>UploadServlet1</servlet-name>
    <url-pattern>/servlet/uploadServlet1</url-pattern>
  </servlet-mapping>
  <servlet-mapping>
    <servlet-name>UploadServlet2</servlet-name>
    <url-pattern>/servlet/uploadServlet2</url-pattern>
  </servlet-mapping>	
  <welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
  </welcome-file-list>
</web-app>

package com.itheima.upload;

import java.io.File;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.UnsupportedEncodingException;
import java.util.List;
import java.util.UUID;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.fileupload.FileItem;
import org.apache.commons.fileupload.FileUploadBase;
import org.apache.commons.fileupload.FileUploadException;
import org.apache.commons.fileupload.disk.DiskFileItemFactory;
import org.apache.commons.fileupload.servlet.ServletFileUpload;
import org.apache.commons.io.FilenameUtils;

public class UploadServlet2 extends HttpServlet {

	public void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {

		// request.setCharacterEncoding("UTF-8");
		// 要执行文件上传的操作
		// 判断表单是否支持文件上传。即:enctype="multipart/form-data"
		boolean isMultipartContent = ServletFileUpload
				.isMultipartContent(request);
		if (!isMultipartContent) {
			throw new RuntimeException("your form is not multipart/form-data");
		}

		// 创建一个DiskFileItemfactory工厂类
		DiskFileItemFactory factory = new DiskFileItemFactory();
		factory.setRepository(new File("f:\\"));// 指定临时文件的存储目录
		// 创建一个ServletFileUpload核心对象
		ServletFileUpload sfu = new ServletFileUpload(factory);
		// 解决上传表单项乱码问题
		sfu.setHeaderEncoding("UTF-8");
		// 限制上传文件的大小

		// 解析request对象,并得到一个表单项的集合
		try {
			// sfu.setFileSizeMax(1024*1024*3);//表示3M大小
			// sfu.setSizeMax(1024*1024*6);
			List<FileItem> fileItems = sfu.parseRequest(request);

			// 遍历表单项数据
			for (FileItem fileitem : fileItems) {
				if (fileitem.isFormField()) {
					// 普通表单项
					processFormField(fileitem);
				} else {
					// 上传表单项
					processUploadField(fileitem);
				}
			}

		} catch (FileUploadBase.FileSizeLimitExceededException e) {
			// throw new RuntimeException("文件过在,不能超过3M");

			System.out.println("文件过在,不能超过3M");
		} catch (FileUploadBase.SizeLimitExceededException e) {
			System.out.println("总文件大小不能超过6M");
		} catch (FileUploadException e) {
			e.printStackTrace();
		}
	}

	private void processUploadField(FileItem fileitem) {
		try {
			// 得到文件输入流
			InputStream is = fileitem.getInputStream();

			// 创建一个文件存盘的目录
			String directoryRealPath = this.getServletContext().getRealPath(
					"/WEB-INF/upload");
			File storeDirectory = new File(directoryRealPath);// 即代表文件又代表目录
			if (!storeDirectory.exists()) {
				storeDirectory.mkdirs();// 创建一个指定的目录
			}
			// 得到上传的名子
			String filename = fileitem.getName();// 文件项中的值 F:\图片素材\小清新\43.jpg 或者
													// 43.jpg
			if (filename != null) {
				// filename =
				// filename.substring(filename.lastIndexOf(File.separator)+1);
				filename = FilenameUtils.getName(filename);// 效果同上
			}

			// 解决文件同名的问题
			filename = UUID.randomUUID() + "_" + filename;
			// 目录打散
			// String childDirectory = makeChildDirectory(storeDirectory); 
			String childDirectory = makeChildDirectory(storeDirectory, filename); // a/b

			// 上传文件,自动删除临时文件
			fileitem.write(new File(storeDirectory, childDirectory
					+ File.separator + filename));
			fileitem.delete();
		} catch (IOException e) {
			e.printStackTrace();
		} catch (Exception e) {
			e.printStackTrace();
		}
	}

	// 上传表单项
	private void processUploadField1(FileItem fileitem) {

		try {
			// 得到文件输入流
			InputStream is = fileitem.getInputStream();

			// 创建一个文件存盘的目录
			String directoryRealPath = this.getServletContext().getRealPath(
					"/WEB-INF/upload");
			File storeDirectory = new File(directoryRealPath);// 即代表文件又代表目录
			if (!storeDirectory.exists()) {
				storeDirectory.mkdirs();// 创建一个指定的目录
			}
			// 得到上传的名子
			String filename = fileitem.getName();// 文件项中的值 F:\图片素材\小清新\43.jpg 或者
													// 43.jpg
			// 处理文件名
			/*
			 * 解决此问题: F:\\apache-tomcat-7.0.52\\webapps\\day18_00_upload\\upload\\F:\\图片素材\\小清新\\41.jpg
			 */
			if (filename != null) {
				// filename =
				// filename.substring(filename.lastIndexOf(File.separator)+1);
				filename = FilenameUtils.getName(filename);// 效果同上
			}

			// 解决文件同名的问题
			filename = UUID.randomUUID() + "_" + filename;

			// 目录打散
			// String childDirectory = makeChildDirectory(storeDirectory); //
			// 2015-10-19
			String childDirectory = makeChildDirectory(storeDirectory, filename); 

			// 在storeDirectory下,创建完整目录下的文件
			File file = new File(storeDirectory, childDirectory
					+ File.separator + filename); // 绝对目录/日期目录/文件名
			// 通过文件输出流将上传的文件保存到磁盘
			FileOutputStream fos = new FileOutputStream(file);

			int len = 0;
			byte[] b = new byte[1024];
			while ((len = is.read(b)) != -1) {
				fos.write(b, 0, len);
			}
			fos.close();
			is.close();

			fileitem.delete();
		} catch (IOException e) {
			e.printStackTrace();
		}

	}

	// 目录打散
	private String makeChildDirectory(File storeDirectory, String filename) {
		int hashcode = filename.hashCode();// 返回字符转换的32位hashcode码
		System.out.println(hashcode);
		String code = Integer.toHexString(hashcode); // 把hashcode转换为16进制的字符
														// abdsaf2131safsd
		System.out.println(code);
		String childDirectory = code.charAt(0) + File.separator
				+ code.charAt(1); // a/b
		// 创建指定目录
		File file = new File(storeDirectory, childDirectory);
		if (!file.exists()) {
			file.mkdirs();
		}
		return childDirectory;
	}

	// 按日期打散
	/*
	 * private String makeChildDirectory(File storeDirectory) {
	 * 
	 * SimpleDateFormat sdf =new SimpleDateFormat("yyyy-MM-dd"); String
	 * dateDirectory = sdf.format(new Date()); //只管创建目录 File file = new
	 * File(storeDirectory,dateDirectory); if(!file.exists()){ file.mkdirs(); }
	 * 
	 * return dateDirectory; }
	 */
	// 普通表单项
	private void processFormField(FileItem fileitem) {
		try {
			String fieldname = fileitem.getFieldName();// 字段名
			String fieldvalue = fileitem.getString("UTF-8");// 字段值
			//fieldvalue = new String(fieldvalue.getBytes("iso-8859-1"),"utf-8");
			System.out.println(fieldname + "=" + fieldvalue);
		} catch (UnsupportedEncodingException e) {
			e.printStackTrace();
		}
	}

	public void doPost(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		doGet(request, response);
	}

}


package com.itheima.upload;

import java.io.IOException;
import java.io.InputStream;

import javax.servlet.ServletException;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class UploadServlet1 extends HttpServlet {

	public void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		/*
		 * 由于表单中提交数据的方式改为multipart/form-data,所以request.getParameter("name")失效
		 * String name = request.getParameter("name");
		String photo = request.getParameter("photo");
		System.out.println(name);
		System.out.println(photo);*/
		
		InputStream is = request.getInputStream();
		int len = 0;
		byte[] b = new byte[1024];
		while((len=is.read(b))!=-1){
			System.out.println(new String(b,0,len));
		}
		
		is.close();
	}

	public void doPost(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		doGet(request, response);
	}

}



java木马_Java校验上传图片文件是否含有木马的两种方式
weixin_42561143的博客
02-20 4380
这两天开发一个app遇到了上传文件的安全问题,在这里记录下来,弥补自己只有鱼的记忆的缺陷,也希望有人能够提供更好的思路去解决文件上传的安全问题.下面这个类是文件上传的公共方法,ToolUtils判断的是文件的类型(jpg/png等),这样的做法根本不能避免上传的文件不是木马.下面引入两种方式,调用时候只需要引用一种即可.private String executeUpload(String upl...
JAVA服务端防止XSS攻击
我都没有昵称的博客
05-06 2818
JAVA服务端防止XSS攻击 在网站登录页面用户名输入 1"><script>alert(10350)</script> 密码随便输然后点击登陆如下图 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190506110924790.png?x-oss-process=image/watermark,type_ZmFuZ3...
java文件上传
weixin_52446536的博客
08-01 718
上传文件四大注意事项: 1.保证服务器安全,上传文件应存放在不能直接访问的目录下,比如WEB-INF目录下 2.防止出现文件覆盖现象要确保文件名的唯一性 3.限制文件上传的最大值 4.限制文件上传的类型,判断其合法性...
文件完整性校验:生成应用MD5值
最新发布
weixin_35906794的博客
06-25 676
MD5(Message-Digest Algorithm 5)是广泛使用的哈希函数之一,由罗纳德·李维斯特(Ronald Rivest)在1991年设计。MD5的目的是对输入的信息进行处理,生成一个长度为128位(16字节)的哈希值,通常以32位十六进制数字表示。它以广泛应用于软件校验、密码存储等领域。哈希函数是一种将输入(或“消息”)映射到固定大小字符串的函数,这个字符串是输入数据的唯一标识符,通常被称为哈希值或摘要。在信息安全领域,哈希函数被广泛用于验证数据的完整性和真实性。
java-web文件上传下载,可解决多个安全访问问题
Lover
01-06 2473
文件上传下载,可解决多个安全访问问题。这个是上年老师教给我们的一个方法,这里当做笔记记录一下。   说明:对于文件上传,浏览器在上传的过程中是将文件以流的形式提交到服务器端的,如果直接使用Servlet获取上传文件的输入流然后再解析里面的请求参数是比较麻烦,所以一般选择采用apache的开源工具common-fileupload这个文件上传组件。这个common-fileupload上传组件的...
java 防止文件下载,Java防止xss攻击附相关文件下载(4)
weixin_34079307的博客
03-14 759
第三种过滤器: 使用工具类xssProtect,项目中需要引入 xssProtect-0.1.jar、antlr-3.0.1.jar、antlr-runtime-3.0.1.jar 等3个 jar 包。具体实现没有试验,可以参考下这个:http://liuzidong.iteye.com/blog/1744023用maven管理jar包的话,pom.xml如下:org.antlrantlr3.0....
javaweb简单实现文件上传下载源代码
09-18
JavaWeb开发中,文件上传下载是常见的功能需求,特别是在构建交互性强的Web应用时。本源代码示例提供了一个简单的实现,帮助开发者理解如何处理这些操作。下面将详细解释涉及的技术点。 1. **文件上传** - **...
JavaWeb实现文件上传下载实例详解
09-02
JavaWeb应用开发中,文件上传下载是不可或缺的功能,特别是在构建交互性强的Web系统时。本篇文章将详细讲解如何使用JavaWeb实现文件上传下载的实例。 首先,我们来看文件上传的实现过程。文件上传通常涉及到...
JavaWeb文件上传下载功能解析
09-02
JavaWeb文件上传下载是Web应用中常见的功能,主要用于处理用户在网页上提交的文件,例如图片、文档等。在本文中,我们将深入探讨这两个重要的话题。 首先,要实现文件上传,我们需要确保满足以下三个基本条件: ...
JavaWeb中上传和下载文件实例代码
08-30
文件上传过程中,需要注意安全问题,例如文件类型限制、文件大小限制、权限控制等,以免出现安全漏洞JavaWeb文件上传下载的实例代码可以应用于各种场景,例如: 1. 文件共享:用户可以上传文件到服务器...
JavaWeb实现文件上传下载的方法
09-02
总的来说,JavaWeb中的文件上传下载是通过结合前端表单提交和后端Servlet处理来实现的。Apache Commons-Fileupload库提供了便捷的工具,使得文件上传的处理变得更加容易。而文件下载则主要依赖于Servlet的响应流...
学生作业上传系统的实现
03-20
计算机专业学生的上机课作业经常需要上传,学生所上传的作业是对学生平时实训成绩评定的重要参考指标。所以开发一种安全、快捷、能最大限度限制作弊的作业文件传输系统是很有必要的。
java实现作业提交系统
06-30
基于JAVA实现的作业提交系统,可以实现在线多人提交,服务器群发消息给客户,私发消息,将提交的作业自动放在学号班级目录下,内含进度条等很多操作、没有自动创建,详情为西农JAVA作业提交系统
javaWeb作业提交系统
10-18
基于java作业提交系统,使用Tomcat9.0部署,主要涉及到servlet等相关知识,能够整套运行,希望大家能够喜欢,有喜欢的可以一起交流
javaweb学生作业管理系统.7z
12-08
Javaweb的学生作业管理系统,实现对作业的基本增删改查管理。 主要为:Java源码+MySQL数据库+搭建教程。
java程序拦截dde漏洞问题_HackerNews
weixin_29289821的博客
03-01 358
近日,Mimecast 威胁中心的安全研究人员,发现了微软 Excel 电子表格应用程序的一个新漏洞,获致 1.2 亿用户易受网络攻击。其指出,该安全漏洞意味着攻击者可以利用 Excel 的 Power Query 查询工具,在电子表格上启用远程动态数据交换(DDE),并控制有效负载。此外,Power Query 还能够用于将恶意代码嵌入数据源并进行传播。(图自:Mimecast,viaBeta...
文件上传漏洞:getshell的最好方式,我们如何防御?
李熠专用博客_白帽子一枚,人称低危终结者
09-09 3337
我相信,你在开发Web应用时,后端一定会提供文件的上传功能,比如前端页面肯定有图片的展示,后端必定会提供图片的上传入口。但是,你在做文件上传功能时,是否考虑过它的安全性问题呢? 请看下面的代码: @PostMapping("upload") public String upload(@RequestParam("file")MultipartFile file,HttpServletRequest request)throws Exception{ String filename = fil.
文件下载触发的DDE注入
一杯咖啡的渗透记忆
11-16 1523
目录 一、定义 二、原理 三、危害 四、修复 一、定义 DDE注入 动态数据交换(DDE),全称DynamicData Exchange,是Windows下进程间通信协议,支持Microsoft Excel,LibreOffice和Apache OpenOffice。Excel、Word、Rtf、Outlook都可以使用这种机制,根据外部应用的处理结果来更新内容。因此,如果我们制作包含DDE公式的CSV文件,那么在打开该文件时,Excel就会尝试执行外部应用。 二、原理 Excel解析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值