學習ASP.NET Core Razor 編程系列十三——文件上傳功能（一）

 

學習ASP.NET Core Razor 編程系列目錄

學習ASP.NET Core Razor 編程系列一

學習ASP.NET Core Razor 編程系列二——添加一個實體

 學習ASP.NET Core Razor 編程系列三——建立數據表及建立項目基本頁面

學習ASP.NET Core Razor 編程系列四——Asp.Net Core Razor列表模板頁面

學習ASP.NET Core Razor 編程系列五——Asp.Net Core Razor新建模板頁面

學習ASP.NET Core Razor 編程系列六——數據庫初始化

學習ASP.NET Core Razor 編程系列七——修改列表頁面

學習ASP.NET Core Razor 編程系列八——併發處理

學習ASP.NET Core Razor 編程系列九——增長查詢功能

 學習ASP.NET Core Razor 編程系列十——添加新字段

學習ASP.NET Core Razor 編程系列十一——把新字段更新到數據庫

學習ASP.NET Core Razor 編程系列十二——在頁面中增長校驗

 

         本篇文章咱們來說在書籍信息管理系統示例使用簡單的模型綁定上傳文件，本文的示例適合上傳小型文件。本篇文章演示如何經過單個 POST 將兩個文件上傳至服務器。

     安全注意事項

      在向用戶提供向上傳文件的功能時，必須格外注意安全性。 攻擊者可能對系統執行拒絕服務和其餘攻擊。 因此在提供上傳功能時須要注意如下安全措施：

      1. 將文件上傳到系統上的專用文件上傳目錄，這樣能夠更輕鬆地對上傳內容實施安全措施。若是容許文件上傳，請確保在上傳目錄禁用執行權限。

      2. 上傳文件的文件名在服務器端保存時要由應用程序自動從新命名文件名稱，而不是採用用戶輸入或已上傳文件的文件名。

      3. 僅容許使用一組特定的文件擴展名。

      4. 在服務端從新執行客戶端檢查。 不要相信客戶端檢查，由於客戶端檢查很容易規避。

      5. 檢查上傳文件大小，防止上傳文件的大小比預期的文件大小大。

      6. 對上傳文件的內容進行病毒/惡意軟件掃描程序。

 

警告

   將惡意代碼上傳到系統一般是執行代碼的第一步，這些代碼能夠實現如下功能：

   1. 徹底接管系統。

   2. 重載系統，致使系統徹底崩潰。

   3. 泄露用戶或系統數據。

 

1、添加類FileUpload

           在Visual Studio 2017的解決方案資源管理器中，鼠標左鍵選中「Models」文件夾，右鍵單擊，在彈出菜單中選擇「添加—>類」（以下圖）。 將類命名爲「FileUpload」，並添加如下代碼，代碼以下：

using Microsoft.AspNetCore.Http;
using System;
using System.Collections.Generic;
using System.ComponentModel.DataAnnotations;
using System.Linq;
using System.Threading.Tasks;
 

namespace RazorMvcBooks.Models
{
    public class FileUpload
    {

        [Required]
        [Display(Name = "文件名")]
        [StringLength(60, MinimumLength = 3)]
        public string FileName { get; set; } 

        [Required]
        [Display(Name = "公共描述")]
        public IFormFile UploadPublicDescribe { get; set; } 

        [Required]
        [Display(Name = "後臺描述")]
        public IFormFile UploadPrivateDescribe { get; set; }
    }

}

 

        此類有一個屬性對應文件名稱，另各有一個屬性對應相應的上傳文件。 3 個屬性皆爲必需屬性，文件名長度必須爲 3-60 個字符。 FileUpload 類與頁面綁定以獲取上傳文件數據。

 

2、添加一個用於上傳文件的文件輔助類FileHelpers

          爲避免處理上傳文件文件時出現重複代碼，咱們首先建立一個靜態文件用於處理上傳功能。

          在Visual Studio 2017 的解決方案資源管理器中建立一個「Utils」文件夾，而後此文件夾下建立一個「FileHelpers.cs」類文件，並添加如下內容。方法 ProcessFormFile 接受 IFormFile 和 ModelStateDictionary，並返回包含文件大小和內容的字符串。 檢查內容類型和長度。 若是上傳文件未經過校驗，將向 ModelState 添加一個錯誤。

using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Mvc.ModelBinding;
using RazorMvcBooks.Models;
using System;
using System.Collections.Generic;
using System.ComponentModel.DataAnnotations;
using System.IO;
using System.Linq;
using System.Net;
using System.Reflection;
using System.Text;
using System.Threading.Tasks;

namespace RazorMvcBooks.Utils
{
    public class FileHelpers
    {
        public static async Task<string> ProcessFormFile(IFormFile formFile, ModelStateDictionary modelState)
        {
            var fieldDisplayName = string.Empty;

            // 使用反射得到的IFormFile實例對象的文件名稱。
            // 若是名稱沒有找到，將會有一個簡單的錯誤消息，但不會顯示文件名稱
            MemberInfo property =
                typeof(FileUpload).GetProperty(formFile.Name.Substring(formFile.Name.IndexOf(".") + 1));

            if (property != null)
            {
                var displayAttribute =
                    property.GetCustomAttribute(typeof(DisplayAttribute)) as DisplayAttribute;

                if (displayAttribute != null)
                {
                    fieldDisplayName = $"{displayAttribute.Name} ";
                }
            }

            //使用path.GetFileName獲取一個帶路徑的全文件名。
            //經過HtmlEncode進行編碼的結果必須在錯誤消息中返回。 
            var fileName = WebUtility.HtmlEncode(Path.GetFileName(formFile.FileName));

            if (formFile.ContentType.ToLower() != "text/plain")
            {
                modelState.AddModelError(formFile.Name,
                                         $"The {fieldDisplayName}file ({fileName}) must be a text file.");
            }


            //校驗文件長度，若是文件不包含內容，則沒必要讀取文件長度。
            //此校驗不會檢查僅具備BOM（字節順序標記）做爲內容的文件，
            //所以在讀取文件內容後再次檢驗文件內容長度，以校驗僅包含BOM的文件。
            if (formFile.Length == 0)
            {
                modelState.AddModelError(formFile.Name, $"The {fieldDisplayName}file ({fileName}) is empty.");
            }
            else if (formFile.Length > 1048576)
            {
                modelState.AddModelError(formFile.Name, $"The {fieldDisplayName}file ({fileName}) exceeds 1 MB.");
            }
            else
            {
                try
                {
                    string fileContents;

                    //使用StreamReader按UTF-8編碼讀取文件。
                    //若是上傳文件是採用其餘的編碼。
                    //請使用32位編碼，將UTF8Encoding改成UTF32Encoding
                    using (
                        var reader =
                            new StreamReader(
                                formFile.OpenReadStream(),
                                new UTF32Encoding(),
                                detectEncodingFromByteOrderMarks: true))
                    {
                        fileContents = await reader.ReadToEndAsync();

                        // 檢查文件長度，若是文件的惟一內容是BOM，在刪除BOM後內容其實是空的。
                        if (fileContents.Length > 0)
                        {
                            return fileContents;
                        }
                        else
                        {
                            modelState.AddModelError(formFile.Name,
                                                     $"The {fieldDisplayName}file ({fileName}) is empty.");
                        }
                    }
                }
                catch (Exception ex)
                {
                    modelState.AddModelError(formFile.Name,
                                             $"The {fieldDisplayName}file ({fileName}) upload failed. " +
                                             $"Please contact the Help Desk for support. Error: {ex.Message}");
                    // Log the exception
                }
            }

            return string.Empty;
        }
    }
}

 

3、添加Describe類

         在Visual Studio 2017的解決方案資源管理器中，鼠標左鍵選中「Models」文件夾，右鍵單擊，在彈出菜單中選擇「添加—>類」（以下圖）。 將類命名爲「Describe」，並添加如下屬性，代碼以下：

 

using System;
using System.Collections.Generic;
using System.ComponentModel.DataAnnotations;
using System.Linq;
using System.Threading.Tasks;
 

namespace RazorMvcBooks.Models
{

    public class Describe
    {

        public int ID { get; set; }

  [Display(Name = "文件名稱")]
        public string Name { get; set; }
  [Display(Name = "公共描述")]
        public string PublicDescribe { get; set; }
 

        [Display(Name = "公共描述大小(bytes)")]
        [DisplayFormat(DataFormatString = "{0:N1}")]
        public long PublicScheduleSize { get; set; }
 
        [Display(Name = "後臺描述")]
        public string PrivateDescribe { get; set; }
 

        [Display(Name = "後臺描述大小 (bytes)")]
        [DisplayFormat(DataFormatString = "{0:N1}")]
        public long PrivateScheduleSize { get; set; }
 

        [Display(Name = "上傳時間(UTC)")]
        [DisplayFormat(DataFormatString = "{0:F}")]
        public DateTime UploadDateTime { get; set; }

    }

}

        此類使用 Display 和 DisplayFormat 特性，有前端顯示時，這些特性會生成友好的標題和格式。

4、修改BookContext

          在Visual Studio 2017中打開BookContext (Models/BookContext.cs) 文件，並修改代碼以下：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.EntityFrameworkCore;

namespace RazorMvcBooks.Models
{
    public class BookContext:DbContext
    {
        public BookContext(DbContextOptions<BookContext> options)
                : base(options)
        {
        } 

        public DbSet<Book> Book { get; set; }
        public DbSet<Describe> Describe { get; set; } 

    }
}

 

5、將 「描述信息」 表添加到數據庫

          在Visual Studio 2017中打開包管理器控制檯 (PMC)：「工具」 > 「NuGet 包管理器」 > 「包管理器控制檯」。

 

        在 PMC 中執行如下命令。 這些命令將向數據庫添加 Describe  表，執行結果發下圖：

       Add-Migration AddDescribeTable

       Update-Database

        在執行以上指令以後，會在數據庫中添加Describe表，結果以下圖。