使用 os.path.abspath 和 os.path.join 可以安全地拼接文件路径 – Picking in the Evening

使用 os.path.abspath 和 os.path.join 可以安全地拼接文件路径

2025-4-17 1:59

|

0

|

在 Flask 或 Python 中，使用 os.path.abspath 和 os.path.join 可以安全地拼接文件路径，防止路径遍历攻击（如 ../../../）并确保路径的准确性。以下是具体示例和说明：

1. 基础用法

（1）`os.path.join`：跨平台拼接路径

import os

# 安全拼接路径（自动处理不同系统的斜杠）
path = os.path.join("var", "www", "uploads", "file.txt")
# Linux → "var/www/uploads/file.txt"
# Windows → "var\\www\\uploads\\file.txt"

（2）`os.path.abspath`：获取绝对路径

# 将相对路径转为绝对路径（基于当前工作目录）
abs_path = os.path.abspath("data/file.txt")
# 输出示例："/home/user/project/data/file.txt"

2. Flask 中的安全示例

场景：限制用户只能访问指定目录下的文件

from flask import Flask, request, abort
import os

app = Flask(__name__)
BASE_DIR = "/var/www/uploads"  # 限制文件存储的根目录

@app.route('/read_file')
def read_file():
    filename = request.args.get('filename')  # 用户传入的文件名
    if not filename:
        return "文件名不能为空", 400

    # 安全拼接路径（防止路径遍历攻击）
    safe_path = os.path.abspath(os.path.join(BASE_DIR, filename))

    # 验证路径是否仍在允许的目录内
    if not safe_path.startswith(os.path.abspath(BASE_DIR) + os.sep):
        abort(403, description="无权访问该路径")

    # 读取文件
    try:
        with open(safe_path, 'r', encoding='utf-8') as f:
            return f.read()
    except FileNotFoundError:
        abort(404, description="文件不存在")
    except PermissionError:
        abort(403, description="无权访问文件")

if __name__ == '__main__':
    app.run()

3. 关键安全措施

路径校验：

   # 检查拼接后的路径是否仍在 BASE_DIR 内
   if not safe_path.startswith(os.path.abspath(BASE_DIR) + os.sep):
       abort(403)

防止用户传入 ../../../etc/passwd 这类恶意路径。

规范化路径：

   # 使用 os.path.normpath 清除冗余的 ./ 或 ../
   clean_path = os.path.normpath(os.path.join(BASE_DIR, filename))

4. 不同操作系统的兼容性

Linux/macOS：路径分隔符为 /
Windows：路径分隔符为 \
os.path.join 和 os.path.abspath 会自动处理系统差异，无需手动判断。

5. 常见问题解决

问题：路径拼接后仍报错 “No such file or directory”

原因：路径中的目录可能不存在。
解决：先用 os.makedirs 创建目录：

  os.makedirs(os.path.dirname(safe_path), exist_ok=True)

问题：Windows 下路径反斜杠问题

解决：使用 os.path 函数而非硬编码斜杠：

  # 错误示例（Windows 不兼容）
  path = "data\\files\\test.txt"

  # 正确示例
  path = os.path.join("data", "files", "test.txt")

总结表格

操作	代码示例	作用
拼接路径	`os.path.join("dir", "subdir", "file")`	跨平台安全拼接
获取绝对路径	`os.path.abspath("relative/path")`	消除路径歧义
防止路径遍历	`safe_path.startswith(BASE_DIR + os.sep)`	确保路径在允许范围内
规范化路径	`os.path.normpath(path)`	清理多余的 `./` 或 `../`

通过这种方式，你可以安全地在 Flask 中处理文件路径，避免安全隐患和跨平台问题。

No Comments

Send Comment Edit Comment

Markdown

Private Comment

|´・ω・)ノ

ヾ(≧∇≦*)ゝ

(☆ω☆)

（╯‵□′）╯︵┴─┴

￣﹃￣

(/ω＼)

∠( ᐛ 」∠)＿

(๑•̀ㅁ•́ฅ)

→_→

୧(๑•̀⌄•́๑)૭

٩(ˊᗜˋ*)و

(ノ°ο°)ノ

(´இ皿இ｀)

⌇●﹏●⌇

(ฅ´ω`ฅ)

(╯°A°)╯︵○○○

φ(￣∇￣o)

ヾ(´･･｀｡)ノ"

( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃

(ó﹏ò｡)

Σ(っ °Д °;)っ

( ,,´･ω･)ﾉ"(´っω･｀｡)

╮(╯▽╰)╭

o(*////▽////*)q

＞﹏＜

( ๑´•ω•) "(ㆆᴗㆆ)

颜文字

Emoji

小恐龙

花!