文件上传：要保存到的文件名称是什么？

从不使用用户输入的文件名。不要使用用户名。而是使用用户ID（我假设您的用户具有唯一的ID）。

请勿使用原始文件名。使用解决方案编号3，加上用户ID代替用户名。

作为参考，PHP几年前就存在一个漏洞：一个人可以伪造一个HTTP POST请求，该请求带有文件上传，文件名如“ ../../anything.php”和php _FILES数组，应该包含经过清理的值，但未检测到此类文件名，因此可以在文件系统中的任何位置写入文件。

我会使用]的组合>

• 用户ID
• 随机生成的字符串（例如GUID）

示例PDF文件名：23212-dd503cf8-a548-4584-a0a3-39dc8be618df.pdf

这样，用户可以根据需要上传任意数量的文件，而不会出现文件名冲突，并且您也可以仅通过查看文件名就指出哪些文件属于哪些用户。

我不认为需要在文件名中包含任何其他信息，因为可以从文件的属性中检索上载时间/日期等。

此外，您应该将文件存储在安全的位置

这还使您能够通过您的代码控制哪些用户有权访问哪些文件。

更新：

1. 创建名称为GetFile.aspx的Web表单
2. GetFile.aspx采用一个名为fileid的查询参数，该参数用于标识要获取的文件。例如：

   http://www.mypage.com/GetFile.aspx?fileid=100

3. 使用fileid参数在数据库中查找文件位置，以便可以将其读取并发送给用户。在Web窗体中，使用Request.QueryString("fileid")获取文件ID，并将其用于如下所示的查询中（SQL）：

   从用户文件的文件位置WHERE FileID = 100

]] >>
4. 使用System.IO.FileStream读取文件并通过Response.Write输出其内容。请记住，首先要使用content type设置适当的Response.ContentType，以便客户端浏览器正确处理请求的文件（请参阅this post上的asp.forums.net和帖子中也提到的MDSN article，这两者都讨论了一种自动确定适当的内容类型的方法）。

如果选择这种方法，以后可以轻松实现自己的简单安全性或自定义操作，例如确保用户在发送文件之前登录到您的网站，或者用户只能访问自己上传的文件，或记录哪些用户下载了哪些文件等。可能性无限；-）

System.IO.Path.GetInvalidPathChars();
获取随机文件名：
System.IO.Path.GetRandomFileName();
在临时目录中获得唯一的随机文件名
System.IO.Path.GetTempFileName();

1. 没有用户名作为文件名的一部分，而不是存储文件的任何部分
2. 请勿将原始文件名用作存储文件的任何部分
3. 使用随机数或GUID确保没有重复的文件
4. 向文件添加用户ID将有助于解决手动调试问题

1. 创建一个表，该表存储到各种文件存储的根路径（这可能是驱动器，unc路径，以及环境所支持的内容）。最初它将有一个条目，它将是您的第一个存储位置。要保留此数据的一个不错的属性是可以在此处存储多少空间。
2. 维护文件相关数据表（id {guid}，创建日期，路径数据的外键，文件大小）
3. 将文件写入尚有空间的根目录（查询存储在根目录中的所有文件大小并与该根目录容量进行比较）
4. 使用GUID作为名称来写文件（混淆文件系统上的文件）。如果安全要求（敏感文件），则可以不使用文件扩展名来写。
5. 根据从根/年{number} /月{number} /天{number} /file.extension开始的创建日期写入文件>

有了这种性质的系统-即使您不需要/不需要它，您现在也可以更轻松地重定位文件。您可以更好地管理文件。您可以更好地管理文件集合。等等，我以前使用过这个系统，发现它非常灵活。一旦文件存储变得很大，需要处理一些事情，处理存储到文件系统但由数据库管理的文件可能会有点失控。另外，至少在Windows情况下……将大量文件存储在一个目录中通常不是一个好主意（按创建日期分解内容的原因）。

仅当您的体积大且占地面积大时才真正需要这种复杂性。

看看System.IO.Path class，因为它具有许多可以使用的有用功能，例如：

我会选择选项3。与用户映射这些文件的表将始终提供其他用途。如果使用映射，则在尝试调试问题时，将用户名或ID附加到文件的唯一好处是。

除了眼神之外，还有更多……我想你已经知道了！