Him*_*dar 2 python parquet pyarrow
在 Python 中,我们可以使用方法https://docs.python.org/2/library/zipfile.html验证 zip 文件zipfile.is_zipfile
同样,我想在使用第三方 Parquet 文件之前根据其幻数对其进行验证。是否有一个 API 可以用来验证基于 Magic Number 的 Parquet 文件,如果我不验证,可能会存在安全风险
通常,标识不同文件类型的幻数是文件的前四个字节。Parquet 也是如此,但 Parquet 还在文件末尾写入魔术字节,因此您可以检查其中一个(或两者)。两个位置的魔术字符串都是“PAR1”。
您可以手动执行此操作,但如果您使用 pyarrow,Parquet 文件的验证会在幕后自动进行。您可以通过一个简单的实验来检查这一点。首先,尝试加载实际的 Parquet 文件:
>>> import pyarrow.parquet as pq
>>> parquet_file = pq.ParquetFile('data.parquet')
此操作成功,您可以parquet_file按照您想要的任何方式使用,例如以parquet_file.metadata. 另一方面,如果您尝试打开非 Parquet 文件,则会收到错误消息:
>>> parquet_file = pq.ParquetFile('/etc/crontab')
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
File "/home/zi/.local/lib/python2.7/site-packages/pyarrow/parquet.py", line 128, in __init__
self.reader.open(source, use_memory_map=memory_map, metadata=metadata)
File "pyarrow/_parquet.pyx", line 640, in pyarrow._parquet.ParquetReader.open
File "pyarrow/error.pxi", line 83, in pyarrow.lib.check_status
pyarrow.lib.ArrowIOError: Invalid parquet file. Corrupt footer.
关于问题的第二部分,不检查幻数并不是安全风险,因为如果攻击者可以伪造恶意文件以触发某些漏洞,那么他们在使用正确的幻数字符串的同时也可以轻松地做到这一点时间。这更像是您多久意识到文件存在问题以及错误消息有多大用处的问题。
例如,如果代码忽略检查魔术字节并立即开始读取页脚的偏移量,然后尝试从该偏移量读取页脚,则最终可能会出现一条不太有用的错误消息,抱怨偏移量无效而不是一个更有用的抱怨错误的文件类型。