当前位置:编程学习 > JSP >>

使用jsp完成文件可定制上载

 这几天的工作主要围绕着文件(主要是图片)上载,并可以在线和HTML编辑器集成,操作简便与目前引用网上图片相似。我是有点小看了这件事情,不过也不无道理:一来以前使用servlet完成过,其中的核心DoUpLoadBean也的确是可以工作;其次集成到编辑器则在使用php的本人的私人博客上做过,看不出有什么特别难的地方。但实际上在展开后就发现,简单实现上载是容易的,但要合理地安排上载的策略,就不得不小心翼翼。因为允许上载本身是非常需要危险的,这实际上是开了一个口子;允许客户对服务器进行事实上的操作,上载攻击从来就不是一件困难,更不是一件罕见的事情;可以想见一旦系统开通,这类攻击必然就会发生。
    另一方面,在允许用户上载本地文件同时就必须考虑后期的管理,因为,即使是在用户本地,最大的硬盘也会过不多久就会给说不清是什么东西的垃圾占满;何况现在是允许许多人同时使用的服务器,如果没有精确的策略,花不了多长时间,客户的上载文件就会把系统撑爆。就在上一个星期,一位朋友向我求助,说是他们的数据库达到30G,把硬盘吃光了,结果死了机;对此,本人只能是爱莫能助,因为,可以肯定里面绝大部分是垃圾,却搞不清什么是垃圾,什么是必须的。因为,他们缺乏一个策略。而且,就算用户不是恶意的,大部分情况下,在开通开载的时侯,很快硬盘也会撑满,如果这是系统盘,通常就意味着崩溃,可见,必须使用连接把上载限制到另一个专用的分区,以确保安全。通常铁quota在这里是派不上用场的,因为那需要把WEB帐号与操作系统帐号结合,既复杂又危险,更加没有这个必要。同时,上载的文件如果不是给每个用户分配目录,也应该是在每个用户的名称前增加一个前缀,以供识别;这样,万一需要清理,配合文件日期,可以使用find/grep/rm组合脚本进行备份或清除,至少是有可能的。
      还有其他因素,导致上载文件实际操作比简单接爱一个文件上载的程序量要大得多;其中主要包括权限控制,(考虑到可以用上载进行攻击,这条不得不小心点),文件管理,以及修改属性,包括大小,类型限制,可以方便修改存储的方式等等,事实上,就完成情况下,上载部分只花了五行程序,而管理则不小于50行。
      今天已经不必再自已写输入流了,就算自已没有积累,还是可以从网上找到开源的代码,象jakarta commons upload就是一个。这个东西没有什么例子,所找到的例子大部分是跑不动的,倒不是怪程序员自已,而是这个东西不但没有什么文档,还把方法和类也改了:例子说的UpLoad实际上是DiskUpload,而当前的Upload有什么区别,为什么可以省去设置内存耗量的等部分,我找不到任何的解释。虽然对自已的代码有所偏爱,但由于我的代码不能处理多个file上载,虽然,这种情况实际上也很少,我却一直弄不明白有什么办法可以识别不止一个上载请求,这意味着我对RFC1864仍是欠了解的,既然有更可靠的东东,就不要太偏心自已的东西了,结果把用了几年的DoUploadBean彻底地埋葬了。
补充:Jsp教程,Jsp/Servlet开发工具
CopyRight © 2022 站长资源库 编程知识问答 zzzyk.com All Rights Reserved
部分文章来自网络,