允许用户将文件上传到app_code文件夹是一种好习惯吗?

时间:2014-05-01 16:57:22

标签: asp.net

最近我看到有人在ASP.Net中开发了一个Web应用程序,允许用户从网页上传excel文件,该文件存储在app_code文件夹中。然后读取该文件并将其存储到数据库中,并在加载后从文件夹中删除。所以我的问题是,将用户上传的文件存储在app_code文件夹中是否正确?

2 个答案:

答案 0 :(得分:1)

不允许用户将任何上传到app_code。上传到app_code文件夹的类文件会在整个应用程序中自动编译和引用。让用户上传文件将是一个巨大的安全漏洞。

答案 1 :(得分:1)

通常,所有用户生成的内容都应该远离应用程序路径。而是在IIS中创建一个虚拟文件夹,指向某个专用文件存储位置,然后上传到该文件夹​​。这样,当您推送应用程序的更新时,您不必担心会弄乱上传的内容。