package com.huawei.ha.modmgr.util;
import java.io.FileInputStream;
import java.io.IOException;
import java.io.InputStream;
import java.util.HashMap;
import java.util.Map;
import org.apache.commons.fileupload.FileItem;
import com.huawei.bass.query.core.config.BIPropertiesBean;
/**
* @Description: 處理上傳附件,校驗是否合法
* 在服務器端判斷文件類型的問題,故用獲取文件頭的方式,
* 直接讀取文件的前幾個字節,來判斷上傳文件是否符合格式
* @author: huangyawei
* @Created 2013 2013-8-19下午18:58:15
*/
public class CheckoutFileType {
//記錄各個文件頭信息及對應的文件類型
public static Map<String, String> mFileTypes = new HashMap<String, String>();
//所有合法的文件后綴
public static String res_fileType=BIPropertiesBean.getProperty("fileType",".mht.mhtml");
static {
// images
mFileTypes.put("FFD8FFE0", ".jpg");
mFileTypes.put("89504E47", ".png");
mFileTypes.put("47494638", ".gif");
mFileTypes.put("49492A00", ".tif");
mFileTypes.put("424D", ".bmp");
//PS和CAD
mFileTypes.put("38425053", ".psd");
mFileTypes.put("41433130", ".dwg"); // CAD
mFileTypes.put("252150532D41646F6265",".ps");
//辦公文檔類
mFileTypes.put("D0CF11E0", ".doc"); //ppt、doc、xls
mFileTypes.put("504B0304", ".docx");//pptx、docx、xlsx
/**注意由於文本文檔錄入內容過多,則讀取文件頭時較為多變-START**/
mFileTypes.put("0D0A0D0A", ".txt");//txt
mFileTypes.put("0D0A2D2D", ".txt");//txt
mFileTypes.put("0D0AB4B4", ".txt");//txt
mFileTypes.put("B4B4BDA8", ".txt");//文件頭部為漢字
mFileTypes.put("73646673", ".txt");//txt,文件頭部為英文字母
mFileTypes.put("32323232", ".txt");//txt,文件頭部內容為數字
mFileTypes.put("0D0A09B4", ".txt");//txt,文件頭部內容為數字
mFileTypes.put("3132330D", ".txt");//txt,文件頭部內容為數字
/**注意由於文本文檔錄入內容過多,則讀取文件頭時較為多變-END**/
mFileTypes.put("7B5C727466", ".rtf"); // 日記本
mFileTypes.put("255044462D312E", ".pdf");
//視頻或音頻類
mFileTypes.put("3026B275",".wma");
mFileTypes.put("57415645", ".wav");
mFileTypes.put("41564920", ".avi");
mFileTypes.put("4D546864", ".mid");
mFileTypes.put("2E524D46", ".rm");
mFileTypes.put("000001BA", ".mpg");
mFileTypes.put("000001B3", ".mpg");
mFileTypes.put("6D6F6F76", ".mov");
mFileTypes.put("3026B2758E66CF11", ".asf");
//壓縮包
mFileTypes.put("52617221", ".rar");
mFileTypes.put("1F8B08", ".gz");
//程序文件
mFileTypes.put("3C3F786D6C", ".xml");
mFileTypes.put("68746D6C3E", ".html");
mFileTypes.put("7061636B", ".java");
mFileTypes.put("3C254020", ".jsp");
mFileTypes.put("4D5A9000", ".exe");
mFileTypes.put("44656C69766572792D646174653A", ".eml"); // 郵件
mFileTypes.put("5374616E64617264204A", ".mdb");//Access數據庫文件
mFileTypes.put("46726F6D", ".mht");
mFileTypes.put("4D494D45", ".mhtml");
}
/**
* 根據文件的輸入流獲取文件頭信息
*
* @param filePath 文件路徑
* @return 文件頭信息
*/
public static String getFileType(InputStream is) {
byte[] b = new byte[4];
if(is!=null){
try {
is.read(b, 0, b.length);
} catch (IOException e) {
e.printStackTrace();
}
}
return mFileTypes.get(getFileHeader(b));
}
/**
* 根據文件轉換成的字節數組獲取文件頭信息
*
* @param filePath
* 文件路徑
* @return 文件頭信息
*/
public static String getFileHeader(byte[] b) {
String value = bytesToHexString(b);
return value;
}
/**
* 將要讀取文件頭信息的文件的byte數組轉換成string類型表示
* 下面這段代碼就是用來對文件類型作驗證的方法,
* 將字節數組的前四位轉換成16進制字符串,並且轉換的時候,要先和0xFF做一次與運算。
* 這是因為,整個文件流的字節數組中,有很多是負數,進行了與運算后,可以將前面的符號位都去掉,
* 這樣轉換成的16進制字符串最多保留兩位,如果是正數又小於10,那么轉換后只有一位,
* 需要在前面補0,這樣做的目的是方便比較,取完前四位這個循環就可以終止了
* @param src要讀取文件頭信息的文件的byte數組
* @return 文件頭信息
*/
private static String bytesToHexString(byte[] src) {
StringBuilder builder = new StringBuilder();
if (src == null || src.length <= 0) {
return null;
}
String hv;
for (int i = 0; i < src.length; i++) {
// 以十六進制(基數 16)無符號整數形式返回一個整數參數的字符串表示形式,並轉換為大寫
hv = Integer.toHexString(src[i] & 0xFF).toUpperCase();
if (hv.length() < 2) {
builder.append(0);
}
builder.append(hv);
}
System.out.println("獲取文件頭信息:"+builder.toString());
return builder.toString();
}
/**
* 判斷上傳的文件是否合法
* (一)、第一:檢查文件的擴展名,
* (二)、 第二:檢查文件的MIME類型 。
* @param attachDoc
* @return boolean
*/
public static boolean getUpFilelegitimacyFlag(FileItem attachDoc){
boolean upFlag=false;//為真表示符合上傳條件,為假表標不符合
if(attachDoc!=null){
String attachName =attachDoc.getName();
System.out.println("#######上傳的文件:"+attachName);
if(!"".equals(attachName)&&attachName!=null){
/**返回在此字符串中最右邊出現的指定子字符串的索引 **/
String sname = attachName.substring(attachName.lastIndexOf("."));
/**統一轉換為小寫**/
sname=sname.toLowerCase();
/**第一步:檢查文件擴展名,是否符合要求范圍**/
if(res_fileType.indexOf(sname)!=-1){
upFlag=true;
}
/**
* 第二步:獲取上傳附件的文件頭,判斷屬於哪種類型,並獲取其擴展名
* 直接讀取文件的前幾個字節,來判斷上傳文件是否符合格式
* 防止上傳附件變更擴展名繞過校驗
***/
if(upFlag){
byte[] b = new byte[4];
String req_fileType = null;
try {
req_fileType = getFileType(attachDoc.getInputStream());
} catch (IOException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
System.out.println("///////用戶上傳的文件類型///////////"+req_fileType);
/**第三步:檢查文件擴展名,是否符合要求范圍**/
if(req_fileType!=null && !"".equals(req_fileType) && !"null".equals(req_fileType)){
/**第四步:校驗上傳的文件擴展名,是否在其規定范圍內**/
if(res_fileType.indexOf(req_fileType)!=-1){
upFlag=true;
}else{
upFlag=false;
}
}else{
/**特殊情況校驗,如果用戶上傳的擴展名為,文本文件,則允許上傳-START**/
if(sname.indexOf(".txt")!=-1){
upFlag=true;
}else{
upFlag=false;
}
/**特殊情況校驗,如果用戶上傳的擴展名為,文本文件,則允許上傳-END**/
}
}
}
}
return upFlag;
}
/**
* 主函數,測試用
* @param args
* @throws Exception
*/
public static void main(String[] args) throws Exception {
//final String fileType = getFileType("D:/BICP-HUAWEI.mht");
FileInputStream is = null;
String value = null;
String filePath = "D:/1.mhtml";
try {
is = new FileInputStream(filePath);
byte[] b = new byte[4];
is.read(b, 0, b.length);
value = bytesToHexString(b);
} catch (Exception e) {
} finally {
if (null != is) {
try {
is.close();
} catch (IOException e) {
}
}
}
System.out.println(value);
}
}
用這種方法可以防止用戶惡意更改文件后綴偽造合法上傳文件的現象。