我正在使用Golang编写一个Web应用程序,我现在正在编写文件上传部分,但我不知道最安全的方法是什么。
有人能给我一些信息吗?感谢。
编辑:我的意思是如何防止用户将文件上传到我想要的位置以外的位置。用户可以修改文件名以使其上载到特定目录。有没有办法阻止它?
我想问一下像Gohell这样的黑客技术是否适用于用Golang编写的Web应用程序?我想不是,但我想检查一下我的想法是否正确。
答案 0 :(得分:2)
您的服务器收到一个文件(例如通过表单发布),您的服务器代码负责将其保存到服务器选项的文件夹中。
客户端无法控制服务器将其保存的位置。客户可以任意推荐文件夹,例如与另一个表单字段(或相对于某些约定或任意根目录的子文件夹),但客户端无法强制执行任何操作。
您应该注意的一件事是,如果您在服务器端获取发布的文件名,则不应该按原样使用它,因为客户端可能会发送包含文件夹分隔符的文件名(例如'/'和它可能包含表示父文件夹的序列(例如"../..")。
您应该做什么(最安全)是在服务器端生成一个名称。或者,如果要使用客户端推荐的名称,只使用发送文件名的最后一部分(如果它也包含文件夹名称)。此外,如果您使用客户端发送的名称,则应检查文件是否已存在,以防止独立客户端覆盖彼此的文件。或者最好是使用客户端独有的文件夹名称,这样就没有机会覆盖彼此的文件。
您可以使用path包来检查/操作文件名和路径。例如,path.Base()仅返回路径的最后一部分(文件名)。并且您可以使用path.Join()来连接文件夹和文件名。
例如,如果客户端通过表单发布文件,您可以在服务器端处理它,如下所示:
func fileHandler(w http.ResponseWriter, r *http.Request) {
f, fh, err := r.FormFile("file")
if err != nil {
// File not submitted? Handle error
http.Error(w, "You must upload a file", http.StatusBadRequest)
return
}
// Save it:
// Here I use username as a unique client identifier
saveName := path.Join("path/to/uploaded/files/", username, path.Base(fh.Filename))
savef, err := os.Create(saveName)
if err != nil {
// Failed to create file on server, handle err
http.Error(w, "Failed to save file", http.StatusInternalServerError)
return
}
defer savef.Close()
io.Copy(savef, f)
fmt.Fprintln(w, "File saved successfully.")
}