病毒扫描上传的文件

Question

我有一个Web应用程序，允许用户将文件上传到Web服务器，然后将其保存到数据库。其中一位安全人员表示，我需要做的就是尝试将文件保存到Web服务器，这将启动病毒扫描。然后我可以删除该文件并将其保存到数据库中。但是，我对此表示担忧：

1. 如果我暂时将文件保存到Web服务器，如果发现病毒，文件是否会无法保存？
   • 如果失败，我应该期待什么类型的例外？
2. 从命令行运行病毒扫描程序更好吗？
3. 这样安全吗？阅读这篇文章：File upload security Concern我担心这一行：“确保Web服务器无法读取您保存到的目录，这样他们就不会上传恶意软件脚本，然后从浏览器中执行通过HTTP“

Answer 1

某些防病毒供应商拥有基于服务器的工具，允许您以编程方式提交要扫描的文件。例如，我们通过ICAP接口使用了Symantec Scan Engine（请参阅http://www.symantec.com/business/support/index?page=content&id=TECH83878）。

其他防病毒供应商提供的其他工具可提供相同或相似的功能。