在数据库中存储上传的文件作为BLOB还是在有限制的文件夹中存储，哪种方式更好？

Question

4

我正在项目中使用FileUpload。由于该网络应用程序需要与支付系统一起工作，因此将会面临高负载。我想知道，对于存储用户文件来说哪种方式更好呢？我的项目基于ASP.NET。

我建议两种方案：

1. 将BLOB对象保存到数据库中/从数据库中加载 2. 将文件保存到/从文件夹中，并在表格中保存有关文件的信息以识别所有者，表格设计如下：BNF：

<user_files> ::= ( <id ::= int, primary_key, auto_increment, indexed><user_id ::= int><file_guid ::= varchar(255)>) | nil

我更喜欢BLOB，但担心未来的高负载。因为从数据库中提取数据需要更多的CPU时间和内存分配，原因如下：

我认为所有这些操作可能会减少服务器工作并需要更多时间，因此对于2000个在线用户，他们将非常快地交换文档，这种方式可能会很慢。

至于将文件存储在文件系统上，我只看到一个问题：

正确保护文件的访问权限，因为不同的用户不能看到其他用户的文档，而且它们必须对其他用户隐藏。我担心，因为用户上传文件的文件夹对于IIS的Windows系统用户（IISUser...）是可见的，否则用户将无法上传任何东西，因此该文件夹将成为公共的。我唯一看到的解决方案是创建一个Windows服务，并使用IIS文件夹进行上传作为临时文件夹。 Windows服务将从中获取文件并将其放置到安全文件夹中，Web用户将无法看到它。

但是，也许我的想法有误，这就是为什么我向您寻求建议的原因，因为我希望使系统更加完美。

谢谢！

- Secret

2个回答

2

将数据存储在数据库中，随着时间的推移，会更好地实现可扩展性。如果使用文件夹解决方案，并且有一天您需要或决定使用集群，则在整个服务器群中同步文件将是非常麻烦的。

尽管从数据库中获取内容可能更加耗费CPU资源，但它确实简化了许多事情（您的代码肯定更易于维护和移植），而且您始终可以指望托管和处理成本随着时间的推移而降低。

您还可以缓存内容以提高速度。无论哪种方式，我希望这些文件上传后不要经常更改。

- Geeky Guy

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Steven · Accepted Answer

如果您遇到这种情况，那么您已经违反了OWASP安全准则，因为您的文件存在不安全的直接对象引用。这意味着用户可以直接访问文件，因为您在IIS上打开了一个完整的子文件夹（如www.mysite.com/files/some_file.pdf），而且您的文件可能有名称。

您应该做的是：

采用这种方法，您可以实现以下目标：

文件有唯一的编号，可以防止它们在磁盘上出现命名冲突。
HttpHandler 可以检查下载该文件的用户的数据库是否具有适当的权限。
由于使用了 ID，因此您不会受到规范表示攻击的影响，攻击者进行如下请求：www.mysite.com/file.ashx?file=..\web.config。

因此，从安全角度来看，将文件存储在磁盘上而不是数据库中没有问题。