Wie kann ich eine robuste und sichere ZIP-Dateiextraktion in Go implementieren und so potenzielle Probleme wie Dateideskriptorlecks und ZipSlip-Schwachstellen beheben?

Mühelose Zip-Dateiextraktion mit Go

Das Entpacken von Dateien in Go kann mit Hilfe des Zip-Pakets ein Kinderspiel sein. Durch die Nutzung seiner Funktionen können Sie den Inhalt komprimierter Archive problemlos extrahieren.

Originalcode:

func Unzip(src, dest string) error {
    r, err := zip.OpenReader(src)
    if err != nil {
        return err
    }
    defer r.Close()

    for _, f := range r.File {
        rc, err := f.Open()
        if err != nil {
            return err
        }
        defer rc.Close()

        path := filepath.Join(dest, f.Name)
        if f.FileInfo().IsDir() {
            os.MkdirAll(path, f.Mode())
        } else {
            f, err := os.OpenFile(
                path, os.O_WRONLY|os.O_CREATE|os.O_TRUNC, f.Mode())
            if err != nil {
                return err
            }
            defer f.Close()

            _, err = io.Copy(f, rc)
            if err != nil {
                return err
            }
        }
    }

    return nil
}

Erweiterter Code:

Um den Code weiter zu verbessern und Dateideskriptorprobleme zu vermeiden, ziehen Sie die folgenden Verbesserungen in Betracht:

1. Erstellen Sie das Zielverzeichnis (dest), wenn es nicht existiert (os.MkdirAll).
2. Kapseln Sie das Extrahieren und Schreiben von Dateien in einem Abschluss, um das Stapeln von defer .Close()-Aufrufen zu vermeiden.
3. Fügen Sie Fehlerbehandlung zu Close()-Vorgängen hinzu.
4. Implementieren Sie eine Prüfung für ZipSlip ( (Directory Traversal)-Schwachstellen.

func Unzip(src, dest string) error {
    r, err := zip.OpenReader(src)
    if err != nil {
        return err
    }
    defer func() {
        if err := r.Close(); err != nil {
            panic(err)
        }
    }()

    os.MkdirAll(dest, 0755)

    extractAndWriteFile := func(f *zip.File) error {
        rc, err := f.Open()
        if err != nil {
            return err
        }
        defer func() {
            if err := rc.Close(); err != nil {
                panic(err)
            }
        }()

        path := filepath.Join(dest, f.Name)

        if !strings.HasPrefix(path, filepath.Clean(dest) + string(os.PathSeparator)) {
            return fmt.Errorf("illegal file path: %s", path)
        }

        if f.FileInfo().IsDir() {
            os.MkdirAll(path, f.Mode())
        } else {
            os.MkdirAll(filepath.Dir(path), f.Mode())
            f, err := os.OpenFile(path, os.O_WRONLY|os.O_CREATE|os.O_TRUNC, f.Mode())
            if err != nil {
                return err
            }
            defer func() {
                if err := f.Close(); err != nil {
                    panic(err)
                }
            }()

            _, err = io.Copy(f, rc)
            if err != nil {
                return err
            }
        }
        return nil
    }

    for _, f := range r.File {
        err := extractAndWriteFile(f)
        if err != nil {
            return err
        }
    }

    return nil
}

Mit diesen Verbesserungen können Sie Dateien jetzt effizient und sicher in Go entpacken.

Das obige ist der detaillierte Inhalt vonWie kann ich eine robuste und sichere ZIP-Dateiextraktion in Go implementieren und so potenzielle Probleme wie Dateideskriptorlecks und ZipSlip-Schwachstellen beheben?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!