One option to consider for inspecting the contents of a file would be Apache Tika: <a href="http://tika.apache.org/">http://tika.apache.org/</a>.<div><br></div><div>--Jeremy<br><br><div class="gmail_quote">On Tue, Jun 14, 2011 at 8:23 AM, Kevin W. Wall <span dir="ltr">&lt;<a href="mailto:kevin.w.wall@gmail.com">kevin.w.wall@gmail.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><br><br><div class="gmail_quote">On Tue, Jun 14, 2011 at 6:03 AM, ashish kumar gautam <span dir="ltr">&lt;<a href="mailto:gautamashishkumar@gmail.com" target="_blank">gautamashishkumar@gmail.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Dear Sir<div><br></div><div>I am using ESAPI for validating file name, file size and file content.</div><div>I am able to validate the file name and size</div><div>I am not able to validate file content.</div><div><br></div>


<div>isValidFileContent() method does not validate a content of the file, it validates the size of a file. Whereas i want to validate the content of file i.e. I want to fix the content of the file.</div></blockquote><div>

<br>When you write that you want to &quot;validate the <i><b>content </b></i>of a file&quot;, what exactly do you mean?<br>Do you mean something like being able to distinguish (say) a text file from a Java jar from<br>an a.out executable from a Microsoft Word document and to also make this judgement<br>

by the actual bytes representing the file (versus the naive attempt of making that<br>judgement based on a file suffix)? If so, isValidFileContent() is definitely not intended<br>to do anything like that and IIRC, ESAPI doesn&#39;t have anything that goes that deep.<br>

To do an analysis that goes beyond file suffix would require implementing something<br>like *nix&#39;s file(1) command and it&#39;s associated magic(5) file. And while I could see<br>how each of these might be useful (for instance, you may want to ensure that someone<br>

can only upload certain image formats), even the techniques used by file and /etc/magic<br>are not fool-proof. In particular, these things were never meant to be file format<br>checkers that could be used in a security context as an adversary can generally find<br>

ways around them.<br><br>-kevin<br></div></div><font color="#888888">-- <br>Blog: <a href="http://off-the-wall-security.blogspot.com/" target="_blank">http://off-the-wall-security.blogspot.com/</a><br>&quot;The most likely way for the world to be destroyed, most experts agree,<br>

is by accident. That&#39;s where we come in; we&#39;re computer professionals.<br>We *cause* accidents.&quot;        -- Nathaniel Borenstein<br>
</font><br>_______________________________________________<br>
Esapi-user mailing list<br>
<a href="mailto:Esapi-user@lists.owasp.org">Esapi-user@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/esapi-user" target="_blank">https://lists.owasp.org/mailman/listinfo/esapi-user</a><br>
<br></blockquote></div><br></div>