首頁 >後端開發 >Golang >如何使用 Go 的 zip 套件簡化並安全地進行檔案解壓縮?

如何使用 Go 的 zip 套件簡化並安全地進行檔案解壓縮?

Barbara Streisand
Barbara Streisand原創
2024-11-14 14:54:02410瀏覽

How can I simplify and secure file decompression using Go's zip package?

Go 中簡單有效的檔案解壓縮

Go 中解壓縮 ZIP 檔案可以是一個簡單的過程。如原始程式碼所示,一種方法涉及手動處理存檔中每個檔案的解壓縮。

但是,有一種更無縫、更有效的方法可以使用以下更新的解決方案來完成此操作:

func Unzip(src, dest string) error {
    r, err := zip.OpenReader(src)
    if err != nil {
        return err
    }
    defer func() {
        if err := r.Close(); err != nil {
            panic(err)
        }
    }()

    os.MkdirAll(dest, 0755)

    // Closure to wrap file extraction and writing, avoiding deferred stack overflow
    extractAndWriteFile := func(f *zip.File) error {
        rc, err := f.Open()
        if err != nil {
            return err
        }
        defer func() {
            if err := rc.Close(); err != nil {
                panic(err)
            }
        }()

        path := filepath.Join(dest, f.Name)

        // Check for directory traversal (ZipSlip) vulnerability
        if !strings.HasPrefix(path, filepath.Clean(dest)+string(os.PathSeparator)) {
            return fmt.Errorf("illegal file path: %s", path)
        }

        if f.FileInfo().IsDir() {
            os.MkdirAll(path, f.Mode())
        } else {
            os.MkdirAll(filepath.Dir(path), f.Mode())
            f, err := os.OpenFile(path, os.O_WRONLY|os.O_CREATE|os.O_TRUNC, f.Mode())
            if err != nil {
                return err
            }
            defer func() {
                if err := f.Close(); err != nil {
                    panic(err)
                }
            }()

            _, err = io.Copy(f, rc)
            if err != nil {
                return err
            }
        }

        return nil
    }

    for _, f := range r.File {
        err := extractAndWriteFile(f)
        if err != nil {
            return err
        }
    }

    return nil
}

此更新的解決方案具有以下幾個優點:

  • 延遲Close() 錯誤已處理: 它可以優雅地處理關閉檔案讀取器(rc)和存檔讀取器 (r) 時的潛在錯誤,確保即使在遇到故障時也能進行正確的清理。
  • 閉包檔案提取: 每個檔案的提取和寫入過程都封裝在一個閉包中,無需對每個檔案進行堆疊和清理多個defer .Close()調用檔案。
  • 目錄建立: 此解決方案確保在提取檔案之前目標目錄存在,防止任何提取失敗。
  • ZipSlip 預防: 它包括安全檢查,透過驗證檔案未提取到預期目標之外來防止潛在的目錄遍歷(ZipSlip) 漏洞

透過這些增強功能,此程式碼提供了一種簡單、健壯且安全的方法來在Go 中解壓縮檔案。

以上是如何使用 Go 的 zip 套件簡化並安全地進行檔案解壓縮?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn