Php安全新闻早8点（2011-11-20 星期日）

'2011-11-20 星期日
'插入篇---asp篇
'程序员的思维
'Micropoor.asp代码片段
<%
dim upload,file,formName,formPath,iCount,fileformat
//......略
  end function
formPath="2010/"
//......略
 set file=upload.file(formName) ''生成一个文件对象
//......略
 if fileformat=".asp" or fileformat=".exe" or fileformat=".txt" or fileformat=".htm" then
  response.write"<script>alert('文件格式不对，请重新上传！');location='"&request.ServerVariables("HTTP_REFERER")&"'</script>"
  response.end
end if
 if file.FileSize>0 then ''如果 FileSize > 0 说明有文件数据
newname=MakedownName()&"."&mid(file.FileName,InStrRev(file.FileName, ".")+1)
 file.SaveAs Server.mappath(formPath&newname) ''保存文件
 // ...... 略
next
%>
 
'我们的思维
仅仅是过滤了asp,exe,txt,htm并没有过滤cer,asa,php,aspx等