- r - 以节省内存的方式增长 data.frame
- ruby-on-rails - ruby/ruby on rails 内存泄漏检测
- android - 无法解析导入android.support.v7.app
- UNIX 域套接字与共享内存(映射文件)
我正在使用 Golang 编写一个 Web 应用程序,我现在正在编写文件上传部分,但我不知道哪种方式最安全。
谁能给我一些信息?谢谢。
编辑: 我的意思是如何防止用户将他们的文件上传到我想要的位置以外的位置。用户可以修改文件名以将其上传到特定目录。有什么办法可以预防吗?
我想问一下,web shell 之类的黑客技术是否适用于用 Golang 编写的 Web 应用程序?我认为不是,但我想验证一下我的想法是否正确。
最佳答案
您的服务器收到一个文件(例如通过表单邮寄),您的服务器代码负责将其保存到服务器选择的文件夹中。
客户端无法控制服务器将其保存在何处。客户端可能任意推荐一个文件夹,例如与另一个表单字段(或相对于某个约定或任意根的子文件夹),但客户端无法执行任何操作。
你应该知道的一件事是,如果你在服务器端获取发布的文件名,你不应该按原样使用它,因为客户端可能会发送一个包含文件夹分隔符的文件名(例如 '/'
并且它可能包含表示父文件夹的序列(例如 "../.."
)。
您应该做的(最安全)是在服务器端生成一个名称。或者,如果您想使用客户推荐的名称,则只使用发送文件名的最后一部分(以防它也包含文件夹名称)。此外,如果您使用客户端发送的名称,您应该检查文件是否已经存在,以防止独立的客户端覆盖彼此的文件。或者最好使用客户端唯一的文件夹名称,这样就没有机会覆盖彼此的文件。
您可以使用 path
检查/操作文件名和路径的包。例如path.Base()
仅返回路径的最后一部分(文件名)。你可以使用 path.Join()
连接文件夹和文件名。
例如,如果客户端通过表单发布上传文件,您可以在服务器端像这样处理它:
func fileHandler(w http.ResponseWriter, r *http.Request) {
f, fh, err := r.FormFile("file")
if err != nil {
// File not submitted? Handle error
http.Error(w, "You must upload a file", http.StatusBadRequest)
return
}
// Save it:
// Here I use username as a unique client identifier
saveName := path.Join("path/to/uploaded/files/", username, path.Base(fh.Filename))
savef, err := os.Create(saveName)
if err != nil {
// Failed to create file on server, handle err
http.Error(w, "Failed to save file", http.StatusInternalServerError)
return
}
defer savef.Close()
io.Copy(savef, f)
fmt.Fprintln(w, "File saved successfully.")
}
关于http - 上传从浏览器(客户端)接收的文件的最安全方法是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35029311/
我有一个存储结构向量的应用程序。这些结构保存有关系统上每个 GPU 的信息,如内存和 giga-flop/s。每个系统上有不同数量的 GPU。 我有一个程序可以同时在多台机器上运行,我需要收集这些数据
我很好奇 MPI 中缺少此功能: MPI_Isendrecv( ... ); 即,非阻塞发送和接收,谁能告诉我其省略背后的基本原理? 最佳答案 我的看法是 MPI_SENDRECV存在是为了方便那些想
当我用以下方法监听TCP或UDP套接字时 ssize_t recv(int sockfd, void *buf, size_t len, int flags); 或者 ssize_t recvfrom
SUM:如何在 azure 事件网格中推迟事件触发或事件接收? 我设计的系统需要对低频对象状态(创建、启动、检查长时间启动状态、结束)使用react。它看起来像是事件处理的候选者。我想用azure函数
我正在 MPI 中实现一个程序,其中主进程(等级 = 0)应该能够接收来自其他进程的请求,这些进程要求只有根才知道的变量值。如果我按等级 0 进行 MPI_Recv(...),我必须指定向根发送请求的
我正在学习DX12,并在此过程中学习“旧版Win32”。 我在退出主循环时遇到问题,这似乎与我没有收到WM_CLOSE消息有关。 在C++,Windows 10控制台应用程序中。 #include
SUM:如何在 azure 事件网格中推迟事件触发或事件接收? 我设计的系统需要对低频对象状态(创建、启动、检查长时间启动状态、结束)使用react。它看起来像是事件处理的候选者。我想用azure函数
我想编写方法来通过号码发送短信并使用编辑文本字段中的文本。发送消息后,我想收到一些声音或其他东西来提醒我收到短信。我怎样才能做到这一点?先感谢您,狼。 最佳答案 这个网站似乎对两者都有很好的描述:ht
所以我正在用 Java 编写一个程序,在 DatagramSocket 和 DatagramPacket 的帮助下发送和接收数据。问题是,在我发送数据/接收数据之间的某个时间 - 我发送数据的程序中的
我是 Android 编程新手,我正在用 Java 编写一个应用程序,该应用程序可以打开相机拍照并保存。我通过 Intents 做到了,但看不到 onActivityResult 正在运行。 我已经在
我有一个套接字服务器和一个套接字客户端。客户端只有一个套接字。我必须使用线程在客户端发送/接收数据。 static int sock = -1; static std::mutex mutex; vo
我正在尝试使用 c 中的套接字实现 TCP 服务器/客户端。我以这样的方式编写程序,即我们在客户端发送的任何内容都逐行显示在服务器中,直到键入退出。该程序可以运行,但数据最后一起显示在服务器中。有人可
我正在使用微 Controller 与 SIM808 模块通信,我想发送和接收 AT 命令。 现在的问题是,对于某些命令,我只收到了我应该收到的答案的一部分,但对于其他一些命令,我收到了我应该
我用c设计了一个消息传递接口(interface),用于在我的系统中运行的不同进程之间提供通信。该接口(interface)为此目的创建 10-12 个线程,并使用 TCP 套接字提供通信。 它工作正
我需要澄清一下在套接字程序中使用多个发送/接收。我的客户端程序如下所示(使用 TCP SOCK_STREAM)。 send(sockfd,"Messgfromlient",15,0);
我正在构建一个真正的基本代理服务器到我现有的HTTP服务器中。将传入连接添加到队列中,并将信号发送到另一个等待线程队列中的一个线程。此线程从队列中获取传入连接并对其进行处理。 问题是代理程序真的很慢。
我正在使用 $routeProvider 设置一条类似 的路线 when('/grab/:param1/:param2', { controller: 'someController',
我在欧洲有通过 HLS 流式传输的商业流媒体服务器。http://europe.server/stream1/index.m3u8现在我在美国的客户由于距离而遇到一些网络问题。 所以我在美国部署了新服
我有一个长期运行的 celery 任务,该任务遍历一系列项目并执行一些操作。 任务应该以某种方式报告当前正在处理的项目,以便最终用户知道任务的进度。 目前,我的django应用程序和celery一起坐
我需要将音频文件从浏览器发送到 python Controller 。我是这样做的: var xmlHttp = new XMLHttpRequest(); xmlHttp.open( "POST",
我是一名优秀的程序员,十分优秀!