pembangunan bahagian belakang
Tutorial Python
Melaksanakan operasi fail yang selamat di Python
Kunci untuk operasi fail selamat di Python adalah untuk mengelakkan masalah seperti PATH Traversal, Kawalan Kebenaran yang tidak wajar, dan pemprosesan fail sementara yang tidak selamat. Cadangan khusus termasuk: 1. Gunakan os.path.normpath atau pathlib.path.resolve () untuk menormalkan laluan dan mengehadkan skop direktori operasi; 2. Gunakan modul tempfile untuk membuat fail sementara untuk mengelakkan nama fail splicing secara manual dan tetapkan keizinan yang sesuai; 3. Gunakan os.chmod () dan os.chown () untuk mengawal kebenaran fail dan pemilikan untuk mengelakkan kebocoran maklumat sensitif; 4. Baca fail besar garis mengikut garis atau blok, dan gunakan pengurus konteks untuk memastikan pembebasan sumber yang tepat pada masanya, dengan itu mengurangkan risiko yang berpotensi.
Kunci untuk operasi fail yang selamat di Python adalah untuk mengelakkan kelemahan keselamatan yang sama, seperti PATH Traversal, Kawalan Kebenaran yang tidak wajar, dan pemprosesan fail sementara yang tidak selamat. Walaupun Python menyediakan keupayaan pemprosesan fail yang kuat, ia mungkin menimbulkan risiko keselamatan yang serius jika digunakan secara tidak wajar. Berikut adalah beberapa cadangan praktikal untuk membantu anda menulis kod operasi fail yang lebih selamat dalam pembangunan harian.
Elakkan serangan traversal jalan (jalan traversal)
Serangan traversal jalan biasanya berlaku apabila input pengguna mengawal laluan fail, seperti pengguna memuat naik fail, memuat turun fail, atau membaca log. Jika input tidak dibersihkan, penyerang boleh membaca fail sensitif melalui laluan seperti ../../etc/passwd .
Cadangan:
- Gunakan
os.path.normpathataupathlib.Path.resolve()untuk menormalkan laluan. - Hadkan operasi fail dalam direktori tertentu, seperti menggunakan
os.path.commonprefix()ataupathlib.Path.relative_to()untuk memastikan bahawa laluan tidak melebihi julat yang diharapkan.
dari laluan import patlib
base_dir = path ("/selamat/asas/dir"). Selesaikan ()
user_path = path ("/selamat/asas/dir /../ etc/passwd"). Selesaikan ()
jika base_dir dalam user_path.parents:
# Operasi Selamat Lain:
Naikkan ValueError ("Laluan Di Luar Rentang Yang Dibenarkan")Buat fail sementara dengan selamat
Sekiranya fail sementara diproses secara tidak wajar, mereka boleh diakses atau diganggu oleh pengguna lain, mengakibatkan kebocoran maklumat atau serangan perlumbaan.
Cadangan:
- Gunakan
TemporaryFileatauNamedTemporaryFiledalam modultempfile. - Jangan bersuara nama fail sementara secara manual, elakkan menggunakan nama fail tetap atau kaedah penamaan yang boleh diramal.
- Tetapkan keizinan yang sesuai (seperti hanya membenarkan pengguna semasa membaca dan menulis).
import tempfile
dengan tempfile.namedTemararyFile (delete = true, mode = 'w') sebagai tmpfile:
tmpfile.write ("Beberapa data")
# Fail dipadamkan secara automatik selepas keluar dengan blokKawalan Kebenaran dan Pemilikan Fail
Apabila menulis data sensitif, pelanggaran data mungkin menyebabkan keizinan yang sesuai tidak ditetapkan. Sebagai contoh, fail log dibaca oleh pengguna biasa, atau fail konfigurasi diubahsuai.
Cadangan:
- Gunakan
os.chmod()untuk menetapkan keizinan yang sesuai (seperti0o600bermakna pemilik hanya dibaca dan ditulis). - Jika berjalan pada sistem seperti Unix, pertimbangkan untuk menetapkan pemilik yang betul dengan
os.chown(). - Elakkan skrip berjalan dengan kebenaran akar kecuali perlu.
Import OS
dengan terbuka ("sensitif_data.txt", "w") sebagai f:
F.Write ("Maklumat Rahsia")
os.chmod ("sensitif_data.txt", 0o600) # Hanya membenarkan pemilik membaca dan menulisElakkan limpahan memori semasa memproses fail besar
Walaupun ia bukan isu keselamatan segera, jika anda tidak memberi perhatian kepada kaedah apabila mengendalikan fail besar, ia boleh menyebabkan program itu terhempas atau bahkan dieksploitasi oleh penyerang untuk mengeksploitasi sumber.
Cadangan:
- Baca baris mengikut baris atau gunakan bacaan chunked untuk mengelakkan memuatkan keseluruhan fail sekaligus.
- Gunakan pengurus konteks (
with open(...)) untuk memastikan bahawa fail ditutup pada waktunya. - Untuk memuat naik fail, hadkan saiz maksimum untuk mengelakkan serangan DOS.
def read_large_file (file_path):
dengan terbuka (file_path, 'r') sebagai f:
untuk baris dalam f:
proses (garis) # ganti dengan logik pemprosesan sebenarPada dasarnya itu sahaja. Operasi fail Python berkuasa, tetapi butiran keselamatan mudah diabaikan. Selagi anda memberi perhatian lebih kepada pemprosesan jalan, fail sementara, kawalan kebenaran dan pengurusan sumber, risiko yang berpotensi dapat dikurangkan.
Atas ialah kandungan terperinci Melaksanakan operasi fail yang selamat di Python. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undress AI Tool
Gambar buka pakaian secara percuma
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Topik panas
Polimorfisme dalam kelas python
Jul 05, 2025 am 02:58 AM
Polimorfisme adalah konsep teras dalam pengaturcaraan berorientasikan objek Python, merujuk kepada "satu antara muka, pelbagai pelaksanaan", yang membolehkan pemprosesan bersatu pelbagai jenis objek. 1. Polimorfisme dilaksanakan melalui penulisan semula kaedah. Subkelas boleh mentakrifkan semula kaedah kelas induk. Sebagai contoh, kaedah bercakap () kelas haiwan mempunyai pelaksanaan yang berbeza dalam subkelas anjing dan kucing. 2. Penggunaan praktikal polimorfisme termasuk memudahkan struktur kod dan meningkatkan skalabilitas, seperti memanggil kaedah cabutan () secara seragam dalam program lukisan grafik, atau mengendalikan tingkah laku umum watak -watak yang berbeza dalam pembangunan permainan. 3. Polimorfisme pelaksanaan Python perlu memenuhi: Kelas induk mentakrifkan kaedah, dan kelas kanak -kanak mengatasi kaedah, tetapi tidak memerlukan warisan kelas induk yang sama. Selagi objek melaksanakan kaedah yang sama, ini dipanggil "jenis itik". 4. Perkara yang perlu diperhatikan termasuk penyelenggaraan
Argumen dan Parameter Fungsi Python
Jul 04, 2025 am 03:26 AM
Parameter adalah ruang letak apabila menentukan fungsi, sementara argumen adalah nilai khusus yang diluluskan ketika memanggil. 1. Parameter kedudukan perlu diluluskan, dan perintah yang salah akan membawa kepada kesilapan dalam hasilnya; 2. Parameter kata kunci ditentukan oleh nama parameter, yang boleh mengubah pesanan dan meningkatkan kebolehbacaan; 3. Nilai parameter lalai diberikan apabila ditakrifkan untuk mengelakkan kod pendua, tetapi objek berubah harus dielakkan sebagai nilai lalai; 4 Args dan *kwargs boleh mengendalikan bilangan parameter yang tidak pasti dan sesuai untuk antara muka umum atau penghias, tetapi harus digunakan dengan berhati -hati untuk mengekalkan kebolehbacaan.
Terangkan penjana python dan iterators.
Jul 05, 2025 am 02:55 AM
Iterator adalah objek yang melaksanakan kaedah __iter __ () dan __Next __ (). Penjana adalah versi Iterator yang dipermudahkan, yang secara automatik melaksanakan kaedah ini melalui kata kunci hasil. 1. Iterator mengembalikan elemen setiap kali dia memanggil seterusnya () dan melemparkan pengecualian berhenti apabila tidak ada lagi elemen. 2. Penjana menggunakan definisi fungsi untuk menghasilkan data atas permintaan, menjimatkan memori dan menyokong urutan tak terhingga. 3. Menggunakan Iterator apabila memproses set sedia ada, gunakan penjana apabila menghasilkan data besar secara dinamik atau penilaian malas, seperti garis pemuatan mengikut baris apabila membaca fail besar. NOTA: Objek yang boleh diperolehi seperti senarai bukanlah pengaliran. Mereka perlu dicipta semula selepas pemalar itu sampai ke penghujungnya, dan penjana hanya boleh melintasi sekali.
Python `@Classmethod` Decorator dijelaskan
Jul 04, 2025 am 03:26 AM
Kaedah kelas adalah kaedah yang ditakrifkan dalam python melalui penghias @classmethod. Parameter pertamanya adalah kelas itu sendiri (CLS), yang digunakan untuk mengakses atau mengubah keadaan kelas. Ia boleh dipanggil melalui kelas atau contoh, yang mempengaruhi seluruh kelas dan bukannya contoh tertentu; Sebagai contoh, dalam kelas orang, kaedah show_count () mengira bilangan objek yang dibuat; Apabila menentukan kaedah kelas, anda perlu menggunakan penghias @classmethod dan namakan parameter pertama CLS, seperti kaedah change_var (new_value) untuk mengubah suai pembolehubah kelas; Kaedah kelas adalah berbeza daripada kaedah contoh (parameter diri) dan kaedah statik (tiada parameter automatik), dan sesuai untuk kaedah kilang, pembina alternatif, dan pengurusan pembolehubah kelas. Kegunaan biasa termasuk:
Cara Mengendalikan Pengesahan API di Python
Jul 13, 2025 am 02:22 AM
Kunci untuk menangani pengesahan API adalah untuk memahami dan menggunakan kaedah pengesahan dengan betul. 1. Apikey adalah kaedah pengesahan yang paling mudah, biasanya diletakkan dalam tajuk permintaan atau parameter URL; 2. BasicAuth menggunakan nama pengguna dan kata laluan untuk penghantaran pengekodan Base64, yang sesuai untuk sistem dalaman; 3. OAuth2 perlu mendapatkan token terlebih dahulu melalui client_id dan client_secret, dan kemudian bawa bearertoken dalam header permintaan; 4. Untuk menangani tamat tempoh token, kelas pengurusan token boleh dikemas dan secara automatik menyegarkan token; Singkatnya, memilih kaedah yang sesuai mengikut dokumen dan menyimpan maklumat utama adalah kunci.
Apakah kaedah Magic Python atau kaedah dunder?
Jul 04, 2025 am 03:20 AM
MagicMethods Python (atau kaedah dunder) adalah kaedah khas yang digunakan untuk menentukan tingkah laku objek, yang bermula dan berakhir dengan garis bawah dua. 1. Mereka membolehkan objek bertindak balas terhadap operasi terbina dalam, seperti tambahan, perbandingan, perwakilan rentetan, dan sebagainya; 2. Kes penggunaan biasa termasuk inisialisasi objek dan perwakilan (__init__, __repr__, __str__), operasi aritmetik (__add__, __sub__, __mul__) dan operasi perbandingan (__eq__, ___lt__); 3. Apabila menggunakannya, pastikan tingkah laku mereka memenuhi jangkaan. Sebagai contoh, __repr__ harus mengembalikan ungkapan objek refortable, dan kaedah aritmetik harus mengembalikan contoh baru; 4. Perkara yang berlebihan atau mengelirukan harus dielakkan.
Bagaimanakah pengurusan memori python berfungsi?
Jul 04, 2025 am 03:26 AM
Pythonmanagesmemoryautomatically leverenceCountingandagarbageCollector.referenceCountingTrackShowmanyvariablesreferoanobject, dan yang mana -mana, dan yang mana -mana
Huraikan koleksi sampah Python di Python.
Jul 03, 2025 am 02:07 AM
Mekanisme pengumpulan sampah Python secara automatik menguruskan memori melalui pengiraan rujukan dan pengumpulan sampah berkala. Kaedah terasnya adalah penghitungan rujukan, yang segera melepaskan memori apabila bilangan rujukan objek adalah sifar; Tetapi ia tidak dapat mengendalikan rujukan bulat, jadi modul pengumpulan sampah (GC) diperkenalkan untuk mengesan dan membersihkan gelung. Pengumpulan sampah biasanya dicetuskan apabila kiraan rujukan berkurangan semasa operasi program, perbezaan peruntukan dan pelepasan melebihi ambang, atau apabila gc.collect () dipanggil secara manual. Pengguna boleh mematikan kitar semula automatik melalui gc.disable (), secara manual melaksanakan gc.collect (), dan menyesuaikan ambang untuk mencapai kawalan melalui gc.set_threshold (). Tidak semua objek mengambil bahagian dalam kitar semula gelung. Sekiranya objek yang tidak mengandungi rujukan diproses dengan mengira rujukan, ia terbina dalam
