我正在使用Golang编写网络应用,现在正在编写文件上传部分,但我不知道最安全的方法是什么。

谁能给我一些信息?谢谢。

编辑:我的意思是如何防止用户将文件上传到我想要的位置以外的位置。用户可以修改文件名以使其上载到特定目录。有什么方法可以预防吗?

我想问一下像Web Shell这样的黑客技术是否对用Golang编写的Web应用程序可行?我认为不是,但是我想检查一下我的想法是否正确。

最佳答案

您的服务器收到一个文件(例如,通过表单发布),并且您的服务器代码负责将其保存到服务器的选择的文件夹中。

客户端无法控制服务器将其保存在何处。客户端可以任意推荐一个文件夹,例如与另一个表单字段(或相对于某个约定或任意根目录的子文件夹)一起使用,但客户端无法执行任何操作。

您应该意识到的一件事是,如果您在服务器端获取发布的文件名,则不应原样使用它,因为客户端可能会发送一个包含文件夹分隔符的文件名(例如'/',并且可能包含表示父级的序列)文件夹(例如"../..")。

您应该做的(最安全的)是在服务器端生成一个名称。或者,如果要使用客户端推荐的名称,请仅使用发送文件名的最后一部分(以防它也包含文件夹名)。同样,如果您使用客户端发送的名称,则应检查文件是否已存在,以防止独立客户端覆盖彼此的文件。或最好是使用客户端唯一的文件夹名称,这样就没有机会覆盖彼此的文件。

您可以使用 path 包检查/操作文件名和路径。例如, path.Base() 仅返回路径的最后一部分(文件名)。而且,您可以使用 path.Join() 连接文件夹和文件名。

例如,如果客户通过表单发布上传文件,则可以在服务器端按以下方式处理文件:

func fileHandler(w http.ResponseWriter, r *http.Request) {
    f, fh, err := r.FormFile("file")
    if err != nil {
        // File not submitted? Handle error
        http.Error(w, "You must upload a file", http.StatusBadRequest)
        return
    }

    // Save it:
    // Here I use username as a unique client identifier
    saveName := path.Join("path/to/uploaded/files/", username, path.Base(fh.Filename))
    savef, err := os.Create(saveName)
    if err != nil {
        // Failed to create file on server, handle err
        http.Error(w, "Failed to save file", http.StatusInternalServerError)
        return
    }
    defer savef.Close()

    io.Copy(savef, f)
    fmt.Fprintln(w, "File saved successfully.")
}

08-06 05:06
查看更多