ASP如何实现无组件文件上传？

在经典的ASP（Active Server Pages）开发环境中，文件上传功能是一个常见的需求，与拥有内置强大对象模型的ASP.NET不同，传统的ASP本身并不直接支持文件上传，标准的Request.Form集合只能解析application/x-www-form-urlencoded编码的表单数据，无法处理文件上传所必需的multipart/form-data编码，为了解决这一限制，开发者通常有两种选择：安装第三方服务器组件（如ASPUpload、SmartUpload等），或者采用“无主件上传”技术，本文将深入探讨后者，即如何在不依赖任何外部组件的情况下,利用纯ASP代码实现文件上传。

核心原理：解析二进制数据流

无主件上传的核心思想是绕过ASP内置的表单解析机制，直接读取和解析客户端通过HTTP POST请求发送过来的原始二进制数据流,这个过程可以分为以下几个关键步骤：

1. HTML表单设置：客户端的HTML表单必须正确设置。<form>标签的enctype属性必须指定为multipart/form-data，并且method为POST，这会告知浏览器将表单数据（包括文件内容）以多部分消息格式进行编码和发送。

2. 读取二进制数据：在服务器端，ASP脚本使用Request.BinaryRead(Request.TotalBytes)方法来获取完整的、未经解析的HTTP请求体。Request.TotalBytes返回请求体的大小，而BinaryRead方法则返回一个包含所有原始二进制数据的Variant数组。

3. 数据流解析：这是整个技术最复杂和关键的部分。multipart/form-data格式的数据流由一个随机的分隔符（Boundary）来划分不同的部分，每个部分都包含自己的HTTP头部（如Content-Disposition，其中包含了表单字段名和原始文件名）和主体内容（文本字段的值或文件的二进制内容），解析过程就是通过编程方式，在这个巨大的二进制字符串中定位分隔符,然后逐个提取出每个部分的数据。

4. 提取文件信息与内容：当解析到一个文件部分时，需要从其头部信息中提取出文件名（如filename="C:imagesmyphoto.jpg"），将分隔符和头部之后、下一个分隔符之前的所有二进制数据作为文件的实际内容。

5. 保存文件：将提取出的二进制文件内容保存到服务器的指定位置，在ASP中，处理二进制文件最可靠的工具是ADODB.Stream对象,它可以精确地读写二进制数据而不会造成损坏。

实现步骤与代码示例

下面将通过一个简化的示例来演示无主件上传的基本实现逻辑。

第一步：创建上传表单

创建一个名为upload.html的文件,内容如下：

<!DOCTYPE html>
<html>
<head>ASP无主件上传示例</title>
</head>
<body>
    <form action="upload.asp" method="post" enctype="multipart/form-data">
        <label for="file1">选择文件:</label>
        <input type="file" name="file1" id="file1">
        <input type="submit" value="上传">
    </form>
</body>
</html>

第二步：创建ASP处理脚本

创建一个名为upload.asp的文件，这是处理上传的核心,以下代码是一个基础但功能完整的实现：

<%
' 定义上传文件保存的物理路径
Dim uploadPath
uploadPath = Server.MapPath("uploads/") ' 确保此目录存在且有写入权限
' 创建一个FileSystemObject对象用于检查和创建目录
Set fso = Server.CreateObject("Scripting.FileSystemObject")
If Not fso.FolderExists(uploadPath) Then
    fso.CreateFolder(uploadPath)
End If
Set fso = Nothing
' 获取所有二进制数据
Dim biData
biData = Request.BinaryRead(Request.TotalBytes)
' 将二进制数据转换为字符串，以便查找分隔符
Dim strData
strData = BytesToStr(biData)
' 获取分隔符
Dim delimiter
delimiter = Left(strData, InStr(strData, vbCrLf) - 1)
' 分割数据部分
Dim dataParts
dataParts = Split(strData, delimiter)
' 遍历所有部分
Dim i, part, headers, content, fileName, startPos, endPos
For i = 1 To UBound(dataParts) - 1 ' 第一个和最后一个为空
    part = Trim(dataParts(i))
    ' 检查是否是文件部分
    If InStr(part, "filename=") > 0 Then
        ' 提取文件名
        startPos = InStr(part, "filename=") + 10
        endPos = InStr(startPos, part, """")
        fileName = Mid(part, startPos, endPos - startPos)
        fileName = Mid(fileName, InStrRev(fileName, "") + 1) ' 去除路径
        If fileName <> "" Then
            ' 提取文件内容的开始位置 (在两个vbcrlf之后)
            startPos = InStr(part, vbCrLf & vbCrLf) + 4
            ' 提取文件内容的结束位置 (在最后的vbcrlf之前)
            endPos = Len(part)
            ' 获取文件内容的二进制数据
            Dim fileContent
            fileContent = MidB(biData, InStrB(1, strData, part), endPos - startPos + 1)
            fileContent = MidB(fileContent, startPos)
            ' 使用ADODB.Stream保存文件
            Dim stream
            Set stream = Server.CreateObject("ADODB.Stream")
            stream.Type = 1 ' adTypeBinary
            stream.Open
            stream.Write fileContent
            stream.SaveToFile uploadPath & "" & fileName, 2 ' adSaveCreateOverWrite
            stream.Close
            Set stream = Nothing
            Response.Write("文件 '" & fileName & "' 上传成功！<br>")
        End If
    End If
Next
' 辅助函数：将二进制数据转换为字符串（用于查找分隔符）
Function BytesToStr(bytes)
    Dim stream
    Set stream = Server.CreateObject("ADODB.Stream")
    stream.Type = 2 ' adTypeText
    stream.Open
    stream.WriteText bytes
    stream.Position = 0
    stream.Charset = "us-ascii" ' 使用单字节字符集
    BytesToStr = stream.ReadText
    stream.Close
    Set stream = Nothing
End Function
%>

关键注意事项与最佳实践

尽管无主件上传技术提供了灵活性，但其实现过程伴随着诸多风险和挑战,必须谨慎处理。

• 安全性：这是首要考虑。

  • 文件类型验证：绝不能相信客户端的文件扩展名或MIME类型，应通过检查文件内容的前几个字节（文件头签名）来验证其真实类型，JPEG文件以FF D8 FF开头。
  • 文件大小限制：在上传开始前或处理过程中检查Request.TotalBytes，如果超过预设阈值，则立即终止处理,以防止拒绝服务攻击。
  • 路径安全：使用Server.MapPath来确保文件保存在网站目录内，并对用户提交的文件名进行净化，移除所有等路径遍历字符,防止文件被写入到系统敏感目录。

• 性能：纯ASP脚本解析大型二进制数据流非常消耗CPU和内存资源，其性能远低于编译好的COM组件,此方法仅适用于中小型文件上传。

  

• 错误处理：代码中应包含健壮的错误处理机制（如On Error Resume Next和Err对象检查），以应对文件读写权限不足、磁盘空间已满等各种异常情况。

优缺点对比

特性	无主件上传	使用第三方组件
部署成本	无需安装，零成本	可能需要购买或许可，需在服务器上注册组件
可移植性	极高，代码随应用迁移	较低，依赖目标服务器环境是否安装了特定组件
实现复杂度	高，需要手动解析二进制流，代码复杂	低，组件提供简洁的对象模型和方法
性能	较低，脚本解释执行，资源消耗大	高，编译型代码，通常经过高度优化
安全性	风险较高，开发者需自行实现所有安全检查	组件通常内置了安全特性，但仍需正确配置
功能丰富度	基础，仅能实现核心上传功能	丰富，通常包括缩略图生成、图片处理、进度条等

ASP无主件上传是一项展现开发者底层编程能力的技术，它通过直接解析HTTP数据流，绕过了对第三方组件的依赖，在共享主机环境或无法安装自定义组件的场景下，它是一个有效的解决方案，开发者必须清醒地认识到其在性能、安全性和代码维护性方面的固有缺陷，在现代Web开发中，如果条件允许，迁移到ASP.NET或其他更现代的技术栈将是更明智的选择，因为它们提供了内置、安全且高性能的文件上传处理机制，若必须坚守经典ASP，则务必将安全放在首位,对上述提到的所有风险点进行严格的控制和测试。

---

相关问答FAQs

问题1：为什么ASP默认的 Request.Form 无法获取上传的文件？

答：这是因为Request.Form集合被设计用来解析标准的URL编码表单，其enctype为application/x-www-form-urlencoded，在这种编码下，所有数据（包括文件名）都被转换为简单的键值对文本，而文件上传必须使用multipart/form-data编码，它将表单数据分割成多个部分，每个部分都有自己的头部和二进制或文本主体，整个请求体是一个复杂的二进制流，ASP的内置对象无法理解这种格式，因此Request.Form会返回空值，开发者必须通过Request.BinaryRead手动读取和解析这个二进制流,才能获取文件内容和其它表单字段。

问题2：除了使用ADODB.Stream，还有其他方法在ASP中保存上传的文件吗？

答：理论上，可以使用Scripting.FileSystemObject（FSO）的CreateTextFile方法来创建文件，FSO对象主要用于处理文本文件，它会尝试使用特定的字符编码（如ASCII或UTF-8）来解释和写入数据，当用它来处理二进制文件（如图片、视频、压缩包）时，它会错误地将二进制字节当作文本字符进行转换，这几乎必然会导致文件内容损坏，使其无法被正常打开或使用。ADODB.Stream是ASP中处理和保存二进制数据的唯一正确且可靠的选择，它的Type = 1（adTypeBinary）模式确保了数据的原始性。