如何在 Go 中实现稳健且安全的 zip 文件提取,解决文件描述符泄漏和 ZipSlip 漏洞等潜在问题?
- Patricia Arquette原创
- 2024-11-13 06:46:02451浏览
使用 Go 轻松提取 Zip 文件
借助 zip 包,在 Go 中解压缩文件可以变得轻而易举。利用其功能,您可以轻松提取压缩档案的内容。
原始代码:
func Unzip(src, dest string) error {
r, err := zip.OpenReader(src)
if err != nil {
return err
}
defer r.Close()
for _, f := range r.File {
rc, err := f.Open()
if err != nil {
return err
}
defer rc.Close()
path := filepath.Join(dest, f.Name)
if f.FileInfo().IsDir() {
os.MkdirAll(path, f.Mode())
} else {
f, err := os.OpenFile(
path, os.O_WRONLY|os.O_CREATE|os.O_TRUNC, f.Mode())
if err != nil {
return err
}
defer f.Close()
_, err = io.Copy(f, rc)
if err != nil {
return err
}
}
}
return nil
}
增强代码:
为了进一步改进代码并避免文件描述符问题,请考虑以下内容增强功能:
- 如果目标目录(dest)不存在(os.MkdirAll),则创建它。
- 将文件提取和写入封装在闭包中,以消除 defer 的堆叠。 Close() 调用。
- 向 Close() 操作添加错误处理。
- 实现检查 ZipSlip(目录遍历)漏洞。
func Unzip(src, dest string) error {
r, err := zip.OpenReader(src)
if err != nil {
return err
}
defer func() {
if err := r.Close(); err != nil {
panic(err)
}
}()
os.MkdirAll(dest, 0755)
extractAndWriteFile := func(f *zip.File) error {
rc, err := f.Open()
if err != nil {
return err
}
defer func() {
if err := rc.Close(); err != nil {
panic(err)
}
}()
path := filepath.Join(dest, f.Name)
if !strings.HasPrefix(path, filepath.Clean(dest) + string(os.PathSeparator)) {
return fmt.Errorf("illegal file path: %s", path)
}
if f.FileInfo().IsDir() {
os.MkdirAll(path, f.Mode())
} else {
os.MkdirAll(filepath.Dir(path), f.Mode())
f, err := os.OpenFile(path, os.O_WRONLY|os.O_CREATE|os.O_TRUNC, f.Mode())
if err != nil {
return err
}
defer func() {
if err := f.Close(); err != nil {
panic(err)
}
}()
_, err = io.Copy(f, rc)
if err != nil {
return err
}
}
return nil
}
for _, f := range r.File {
err := extractAndWriteFile(f)
if err != nil {
return err
}
}
return nil
}
通过这些增强功能,您现在可以在 Go 中高效、安全地解压缩文件。
以上是如何在 Go 中实现稳健且安全的 zip 文件提取,解决文件描述符泄漏和 ZipSlip 漏洞等潜在问题?的详细内容。更多信息请关注PHP中文网其他相关文章!
声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn