如何避免文件上传函数中的路径或目录操作？

Question

在我正在做的文件上传功能中，一个重要的问题是我可以保存图像用户上传的路径。在下面的代码中，我已经在基于web的应用程序文件夹中指定了保存上传文件的文件夹。我的指导员告诉我，在asp.net UploadFile控件的代码后面还有一个安全漏洞，我不知道为什么！

string path = @"~\Images\"; 
string comPath = Server.MapPath(path + "\\" + FileUpload1.FileName);

，你能告诉我如何防止这种安全漏洞吗？

更新：

有人能告诉我如何避免这种安全漏洞吗？我仍在努力寻找一些东西来保证这两条线路的安全。

Answer 1

我的指导员告诉我，在asp.net UploadFile控件的代码后面还有一个安全漏洞，我不知道为什么！

想象一下，如果客户端发送类似于..\..\foo.jpg的文件名会发生什么情况。

Answer 2

一个相当简单的解决方法是确保文件名中没有\或/字符，方法是去掉所有这些字符直到第一个字符。(无论如何，这是个好主意，因为浏览器对上传文件名的处理方式各不相同:有些是发送完整的路径，有些是只是普通的文件名，有些甚至可能是发送假路径代替。)

要做到这一点，最简单的方法是使用Regex：

string fileName = Regex.Replace( FileUpload1.FileName, @"(?s)^.*[\\/]", "" );

注意，根据操作系统和文件系统的不同，还有其他字符也可能导致问题。一般来说，最安全的选择是除去所有字符，除非您知道这些字符是安全的，如下所示：

string safeFileName = Regex.Replace( fileName, @"[^A-Za-z0-9\-._() ]", "" );

您还可能希望进一步确保文件名的扩展名与您期望的文件类型相匹配。