自述文件.htm

来自「在ASP中调用的无组件上传」· HTM 代码 · 共 339 行 · 第 1/2 页

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML>
	<HEAD>
		<TITLE>惧上传类 - UpFile_Class V2.0 使用手册</TITLE>
		<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=gb2312">
		<STYLE TYPE="text/css"> 
		<!-- .p9 { font-family: "宋体"; font-size: 10pt; text-decoration: none; }
	.stable { font-family: "宋体"; font-size: 10pt; text-decoration: none; border-collapse: collapse; }
	.stable1 { font-family: "宋体"; font-size: 10pt; text-decoration: none; border-collapse: collapse; }
	.style1 {color: #0000FF}
	-->
		</STYLE>
	</HEAD>
	<BODY LEFTMARGIN="0" TOPMARGIN="0">
		<FONT SIZE="3"></FONT>
		<TABLE WIDTH="90%" BORDER="0" CELLPADDING="5" CELLSPACING="0" CLASS="p9">
			<TR>
				<TD COLSPAN="2">
					<TABLE WIDTH="100%" HEIGHT="100" BORDER="0" CELLPADDING="10" CELLSPACING="0">
						<TR>
							<TD BGCOLOR="#9999FF"><P><B><FONT SIZE="3" COLOR="#000000">先锋上传类(无惧2.0杜绝上传漏洞修改版) - clsUp V2004 使用手册</FONT></B></P>
								<P><FONT SIZE="2">作者:梁无惧、孙立宇 下载地址：<a href="http://www.lkstar.com/lkdown/clsUp.rar" target="_blank">http://www.lkstar.com/lkdown/clsUp.rar</a></FONT></P>
						  <P><FONT SIZE="2">官方网站：<a href="http://www.lkstar.com" target="_blank">http://www.lkstar.com</a></FONT></P>
						  <P><FONT SIZE="2">技术支持：<a href="http://bbs.lkstar.com" target="_blank">http://bbs.lkstar.com</a></FONT></P>
						  <P><FONT SIZE="2">电子邮件：<a href="mailto:kickball@netease.com">kickball@netease.com</a></FONT></P>
						  <P><FONT SIZE="2">QQ在线：94294089</FONT></P>
						  <P><FONT SIZE="2">申明：版权没有，盗版不究<A HREF="mailto:yjlrb@21cn.com"></A>&nbsp;</FONT></P></TD>
						</TR>
					</TABLE>
				</TD>
			</TR>
			<TR>
				<TD COLSPAN="2"><STRONG>clsUp 概述</STRONG></TD>
			</TR>
			<TR>
				<TD>&nbsp;</TD>
				<TD>'-----------------------------------------------------------------------------------------<br>				  
				  '******************* 先锋无组件上传类(杜绝上传漏洞版) Ver2004 ********************<br>
				  '作者:梁无惧、孙立宇、apollosun、ezhonghua<br>
				  '官方网站:http://www.lkstar.com 技术支持论坛：http://bbs.lkstar.com<br>
				  '电子邮件:kickball@netease.com 在线QQ:94294089<br>
				  '版权声明:版权没有,盗版不究，源码公开,各种用途均可免费使用，欢迎你到技术论坛来寻求支持。<br>
				  '网上流行的所有的无组件上传类都有该类漏洞——黑客利用抓包嗅探、ULTRAEDIT和“网络军刀”<br>
				  '等黑客工具伪造IP包,可以突破服务器端对上传文件名、路径的判断,从而巧妙上传ASP、ASA、CGI、CDX、<br>
				  'CER、ASPX类型的网页木马。本人仔细分析了各种黑客手段，针对网上最流行的无惧上传类进行修改，<br>
				  '在写入服务端的最后关键使黑客的如意算盘付之东流.目前提供的这个类完全堵上了上传漏洞，请放心使用！<br>
				  '详细使用说明或范例请见下载附件或到本人官方站点下载！<br>
			    '-----------------------------------------------------------------------------------------</TD>
			</TR>
			<TR>
				<TD HEIGHT="10" COLSPAN="2"></TD>
			</TR>
			<TR>
				<TD COLSPAN="2"><STRONG>clsUp 公共属性</STRONG></TD>
			</TR>
			<TR>
				<TD WIDTH="30">&nbsp;</TD>
				<TD><TABLE WIDTH="100%" BORDER="1" CELLPADDING="0" CELLSPACING="0" BORDERCOLOR="#999999" CLASS="stable">
						<TR VALIGN="middle">
							<TD WIDTH="210" HEIGHT="20"><IMG SRC="1.GIF" WIDTH="16" HEIGHT="16"> File</TD>
							<TD>&nbsp;文件域的集合,是一个<A HREF="#Dictionary">Dictionary 对象</A>,返回值一个<A HREF="#FileInfo_Class">clsFileInfo</A>
								类。可读写。</TD>
						</TR>
						<TR VALIGN="middle">
							<TD WIDTH="150" HEIGHT="20"><IMG SRC="1.GIF" WIDTH="16" HEIGHT="16"> Form</TD>
							<TD>&nbsp;表单域的集合,是一个<A HREF="#Dictionary">Dictionary 对象</A>,返回对应表单域的值。可读写。</TD>
						</TR>
						<TR VALIGN="middle">
							<TD WIDTH="150" HEIGHT="20"><IMG SRC="1.GIF" WIDTH="16" HEIGHT="16"> isErr</TD>
							<TD>&nbsp;返回错误的数值。-1表示无错,1表示没有上传数据,2表示上传超出限制。只读。</TD>
						</TR>
						<TR VALIGN="middle">
							<TD WIDTH="150" HEIGHT="20"><IMG SRC="1.GIF" WIDTH="16" HEIGHT="16"> Version</TD>
							<TD>&nbsp;获取类的版本信息。只读。</TD>
						</TR>
						<TR VALIGN="middle">
							<TD HEIGHT="20"><IMG SRC="1.GIF" WIDTH="16" HEIGHT="16"> AllowExt</TD>
							<TD>&nbsp;白名单，允许上传的文件类型，可以在类文件里预设可上传的文件类型,以文件的后缀名来判断,不区分大小写,每个后缀名用“;”号分开。如AllowExt="jpg;rar;zip"。可读写。</TD>
						</TR>
						<TR VALIGN="middle">
							<TD HEIGHT="20"><IMG SRC="1.GIF" WIDTH="16" HEIGHT="16"> NoAllowExt
							</TD>
							<TD>&nbsp;黑名单，不允许上传的文件类型，可以在类文件里预设不可上传的文件类型,以文件的后缀名来判断,不区分大小写,每个后缀名用“;”号分开。如NoAllowExt="asp;htm;html;js;"。可读写</TD>
						</TR>
						<TR VALIGN="middle">
							<TD HEIGHT="20"><IMG SRC="1.GIF" WIDTH="16" HEIGHT="16"> ErrMessage
							</TD>
							<TD>&nbsp;错误信息，在发生错误时，可以调用ErrMessage显示错误的字符串信息。只读。</TD>
						</TR>
					</TABLE>
				</TD>
			</TR>
			<TR>
				<TD HEIGHT="10" COLSPAN="2"></TD>
			</TR>
			<TR>
				<TD COLSPAN="2"><STRONG>clsUp 公共方法</STRONG></TD>
			</TR>
			<TR>
				<TD>&nbsp;</TD>
				<TD><TABLE WIDTH="100%" BORDER="1" CELLPADDING="0" CELLSPACING="0" BORDERCOLOR="#999999" CLASS="stable">
						<TR VALIGN="middle">
							<TD WIDTH="210" HEIGHT="20"><IMG SRC="2.GIF" WIDTH="16" HEIGHT="16"> GetData(MaxSize 
								As Int64)</TD>
							<TD>&nbsp;分析上传的数据。MaxSize为限制上传的字节,设为-1即不限制大小，此为过程，没有返回值，调用后调检查isErr是否大于0。</TD>
						</TR>
						<TR VALIGN="middle">
							<TD HEIGHT="20"><IMG SRC="2.GIF" WIDTH="16" HEIGHT="16"> SaveToFile(Item As 
								String,Path As String)</TD>
							<TD>&nbsp;保存到文件,自动覆盖已存在的同名文件，Item为表单项名，Path为保存的绝对路径，返回值为保存的文件名。</TD>
						</TR>
						<TR VALIGN="middle">
							<TD HEIGHT="20"><IMG SRC="2.GIF" WIDTH="16" HEIGHT="16"> AutoSave(Item As 
								String,Path As String)</TD>
							<TD>&nbsp;保存到文件,自动创建文件名以避免重复，Item为表单的名，Path为保存的绝对路径（可不包含文件名，如e:\wwwroot\upimg\),返回值为保存的文件名。</TD>
						</TR>
						<TR VALIGN="middle">
							<TD HEIGHT="20"><IMG SRC="2.GIF" WIDTH="16" HEIGHT="16"> FileData(Item As String)</TD>
							<TD>&nbsp;取得文件数据，Item为表单项名</TD>
						</TR>
						<TR VALIGN="middle">
							<TD HEIGHT="20"><IMG SRC="2.GIF" WIDTH="16" HEIGHT="16"> GetFilePath(FullPath As 
								String)
							</TD>
							<TD>&nbsp;返回文件在路径，如GetFilePath("c:\a.asp") 返回值为"c:\"。
							</TD>
						</TR>
						<TR VALIGN="middle">
							<TD HEIGHT="20"><IMG SRC="2.GIF" WIDTH="16" HEIGHT="16"> GetFileName(FullPath As 
								String)
							</TD>
							<TD>&nbsp;返回文件名，如GetFileName("c:\a.asp") 返回值为"a.asp"。
							</TD>
						</TR>
						<TR VALIGN="middle">
							<TD HEIGHT="20"><IMG SRC="2.GIF" WIDTH="16" HEIGHT="16"> GetFileExt(FullPath As 
								String)
							</TD>
							<TD>&nbsp;返回文件的后缀名，如GetFileExt("c:\a.asp") 返回值为"asp"。
							</TD>
						</TR>
						<TR VALIGN="middle">
							<TD HEIGHT="20"><IMG SRC="2.GIF" WIDTH="16" HEIGHT="16"> GetNewFileName()
							</TD>
							<TD>&nbsp;返回一个以时间种子的不重复数值，可以用作文件名。</TD>
						</TR>
						<TR VALIGN="middle">
							<TD HEIGHT="20"><IMG SRC="2.GIF" WIDTH="16" HEIGHT="16"> isAllowExt(Ext As String)</TD>
							<TD>&nbsp;返回一个真假值指是Ext是否为可上传的类型,如isAllowExt("jpg")。</TD>
						</TR>
					</TABLE>
				</TD>
			</TR>
			<TR>
				<TD HEIGHT="5" COLSPAN="2">&nbsp;</TD>
			</TR>
			<TR>
				<TD HEIGHT="5" COLSPAN="2"><STRONG>clsUp 受保护方法</STRONG></TD>
			</TR>
			<TR>
				<TD HEIGHT="5">&nbsp;</TD>
				<TD HEIGHT="5"><TABLE WIDTH="100%" BORDER="1" CELLPADDING="0" CELLSPACING="0" BORDERCOLOR="#999999" CLASS="stable1">
						<TR VALIGN="middle">
							<TD WIDTH="210" HEIGHT="20"><IMG SRC="3.GIF" WIDTH="16" HEIGHT="16"> SaveToFileEx(Item 
								As String,Path As String,Over As bool)</TD>
							<TD>&nbsp;保存到文件，其中Over指示如果文件存在是否覆盖，如果OVER为真时，文件按PATH来保存，如果OVER为假，则自动调用<IMG SRC="2.GIF" WIDTH="16" HEIGHT="16">
								GetNewFileName() 生成一个新的不重复的文件名，以上传时的后缀名保存。</TD>
						</TR>
					</TABLE>
				</TD>