那些遇到过的问题

帮助改进我的文件上传方法(金字塔框架)

sid*_*der 14 python pylons multipart pyramid

目前,我使用以下方法在Pyramid中上传文件(通过HTML表单).

if request.params.get('form.submitted'):

    upload_directory = os.getcwd() + '/myapp/static/uploads/'

    my_file = request.POST.get('thumbnail')
    saved_file = str(upload_directory) + str(my_file.filename)

    perm_file = open(saved_file, 'w')

    shutil.copyfileobj(my_file.file, perm_file)
    my_file.file.close()
    perm_file.close()
Run Code Online (Sandbox Code Playgroud)

我只是想知道,这是保存文件上传的好方法,我的方法有任何安全问题吗?我怎么能改进我的方法.谢谢.

Sea*_*ira 14

你会想要使用像werkzug这样的东西,safe_join而不是仅仅将上传目录添加到给定的文件名中.攻击者可以创建一个文件名为的POST,../../../some/important/path并导致此脚本覆盖您的文件之外的某些文件upload_directory.

归档时间:

查看次数:

3848 次

最近记录:

14 年,1 月 前
相关归档
Python中单个下划线"_"变量的目的是什么? 570
为什么"if not someobj:"比Python中的"if someobj == None:"更好? 120
如何将标签完成添加到Python shell? 112
在Python中是否有相当于//运算符的上限? 95
建议的绘图方式是:matplotlib还是pylab? 83
将Pandas DataFrame的行转换为列标题, 82
在matplotlib中更改绘图的轴,刻度和标签的颜色 76
如何在不指定库存但直接主机的情况下运行Ansible? 67
Django中的静态文件和媒体文件有什么区别? 60
Python的列表理解与.NET LINQ 54
难疑归档
如何在提交前撤消'git add'? 8567
如何查看远程Git分支? 6408
如何正确克隆JavaScript对象? 2922
需要一个没有任何子弹的无序列表 2408
ssh"权限太开放"错误 1859
NPM vs. Bower vs. Browserify vs. Gulp vs. Grunt vs. Webpack 1811
'real','user'和'sys'在time(1)的输出中意味着什么? 1622
如何将分离的HEAD与master/origin协调? 1506
这是什么意思?"'NSUnknownKeyException',原因:...此类不是键值X的键值编码兼容" 1143
如何在Node.js上的Express.js中获取GET(查询字符串)变量? 1115