HP Fortify：路徑操作錯誤

Question

我收到以下代碼的hp加強警告：

        FileStream fs = null;
        StreamWriter writer = null;

        try
        {
            fs = new FileStream(sFileName, FileMode.Open, FileAccess.Write);// Path Manipulation error
            writer = new StreamWriter(fs);

我沒有在我的代碼中刪除文件，因此，如果用戶從我的代碼中提供一些配置文件的安全路徑，那么我不確定為什么會發出警告？

任何人都可以建議我其他選擇嗎？

Answer 1

Fortify不知道文件是什么，文件在哪里或其他任何內容。 編寫代碼使Fortify可以看到該應用程序受到了惡意用戶的保護。

驗證路徑，以使我無法傳遞名為../../../../cmdshell.aspx的文件，不要依賴文件系統權限。 我假設稍后要讀取該文件，在該處進行相同的驗證。

我還將驗證MIME類型，文件大小，並檢查奇怪的字符。