PythonでSecure File操作を実装します
Pythonでの安全なファイル操作の鍵は、パストラバーサル、不適切な許可制御、安全でない一時的なファイル処理などの問題を防ぐことです。具体的な提案には次のものが含まれます。1。os.path.normpathまたはpathlib.path.resolve()を使用して、パスを正規化し、操作ディレクトリの範囲を制限します。 2. TempFileモジュールを使用して一時ファイルを作成して、ファイル名を手動でスプライズしないようにし、適切なアクセス許可を設定します。 3。OS.Chmod()とOs.Chown()を使用して、ファイルの許可と所有権を制御して、機密情報の漏れを防ぎます。 4.ラインまたはブロックごとに大きなファイルを読み取り、コンテキストマネージャーを使用してリソースをタイムリーにリリースし、潜在的なリスクを軽減します。
Pythonでの安全なファイル操作の鍵は、パストラバーサル、不適切な許可制御、安全でない一時的なファイル処理など、一般的なセキュリティの脆弱性を回避することです。 Pythonは強力なファイル処理機能を提供しますが、不適切に使用すると深刻なセキュリティリスクをもたらす可能性があります。以下は、毎日の開発においてより安全なファイル操作コードを書くのに役立つ実用的な提案です。
パストラバーサル攻撃を避けます(パストラバーサル)
通常、パストラバーサル攻撃は、ユーザーがファイルをアップロードしたり、ファイルをダウンロードしたり、ログを読み取ったりするなど、ユーザー入力がファイルパスを制御するときに発生します。入力がクリーンアップされていない場合、攻撃者は../../etc/passwdなどのパスを介して機密ファイルを読み取ることができます。
提案:
-
os.path.normpathまたはpathlib.Path.resolve()を使用して、パスを正規化します。 -
os.path.commonprefix()またはpathlib.Path.relative_to()を使用するなど、指定されたディレクトリのファイル操作を制限して、パスが予想される範囲を超えないようにします。
Pathlibインポートパスから
base_dir = path( "/safe/base/dir")。resolve()
user_path = path( "/safe/base/dir // etc/passwd")。resolve()
user_path.parentsのbase_dirの場合:
#安全な操作:
Raise ValueRerr( "許容範囲外のパス")一時的なファイルを安全に作成します
一時的なファイルが不適切に処理されている場合、それらは他のユーザーからアクセスまたは改ざんされる可能性があり、その結果、情報の漏れや人種攻撃が発生します。
提案:
-
tempfileモジュールでTemporaryFileまたはNamedTemporaryFile使用してください。 - 一時的なファイル名を手動でスプライスしないでください。固定されたファイル名または予測可能な命名方法の使用を避けてください。
- 適切な権限を設定します(現在のユーザーが読み書きのみを許可するなど)。
TempFileをインポートします
tmpfileとしてtempfile.namedtemporaryfile(delete = true、mode = 'w')を使用して:
tmpfile.write( "いくつかのデータ")
#ファイルは、ブロックで終了した後に自動的に削除されますファイルの許可と所有権を制御します
機密データを記述すると、適切なアクセス許可が設定されていない場合、データ侵害が生じる場合があります。たとえば、ログファイルは通常のユーザーによって読み取られるか、構成ファイルが変更されます。
提案:
-
os.chmod()を使用して適切なアクセス許可を設定します(0o600など、所有者は読み取りと書き込みのみを意味します)。 - UNIXのようなシステムで実行されている場合は、正しい所有者を
os.chown()に設定することを検討してください。 - 必要でない限り、ルートアクセス許可を使用してスクリプトを実行しないでください。
OSをインポートします
open( "sensitive_data.txt"、 "w")としてf:
f.write( "Secret Info")
os.chmod( "sensitive_data.txt"、0o600)#所有者のみの読み取りと書き込みのみを許可します大きなファイルを処理するときは、メモリオーバーフローを避けてください
それは即時のセキュリティの問題ではありませんが、大きなファイルを処理するときにメソッドに注意を払わない場合、プログラムがクラッシュするか、攻撃者がリソースを悪用することさえする可能性があります。
提案:
- ラインごとに読み取るか、ファイル全体が一度にロードされないように、チャンク読み取りを使用してください。
- コンテキストマネージャー(
with open(...))を使用して、ファイルが時間内に閉じられていることを確認します。 - ファイルをアップロードするには、DOS攻撃を避けるために最大サイズを制限します。
def read_large_file(file_path):
fite(file_path、 'r')as f:
Fのラインの場合:
プロセス(行)#実際の処理ロジックに置き換えます基本的にそれだけです。 Pythonのファイル操作は強力ですが、セキュリティの詳細は簡単に見落とされます。パス処理、一時ファイル、許可制御、リソース管理にもっと注意を払う限り、潜在的なリスクを大幅に減らすことができます。
以上がPythonでSecure File操作を実装しますの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undress AI Tool
脱衣画像を無料で
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
Python Run Shellコマンドの例
Jul 26, 2025 am 07:50 AM
subprocess.run()を使用して、シェルコマンドを安全に実行し、出力をキャプチャします。注入リスクを避けるために、リストのパラメーターを渡すことをお勧めします。 2。シェル特性が必要な場合は、シェル= trueを設定できますが、コマンドインジェクションに注意してください。 3. subprocess.popenを使用して、リアルタイム出力処理を実現します。 4。Check = COMMATが失敗したときに例外をスローするためにtrueを設定します。 5.単純なシナリオで直接チェーンを呼び出して出力を取得できます。 os.system()または非推奨モジュールの使用を避けるために、日常生活の中でsubprocess.run()を優先する必要があります。上記の方法は、Pythonでシェルコマンドを実行するコアの使用を上書きします。
Python Seabornジョイントプロットの例
Jul 26, 2025 am 08:11 AM
Seabornのジョイントプロットを使用して、2つの変数間の関係と分布をすばやく視覚化します。 2。基本的な散布図は、sns.jointplot(data = tips、x = "total_bill"、y = "tip"、dind = "scatter")によって実装され、中心は散布図であり、ヒストグラムは上部と右側と右側に表示されます。 3.回帰線と密度情報をdind = "reg"に追加し、marminal_kwsを組み合わせてエッジプロットスタイルを設定します。 4。データ量が大きい場合は、「ヘックス」を使用することをお勧めします。
python httpx asyncクライアントの例
Jul 29, 2025 am 01:08 AM
httpx.asyncclientを使用して、非同期httpリクエストを効率的に開始します。 1.基本的なGETリクエストは、asyncwithを介してクライアントを管理し、awaitclient.getを使用して非ブロッキングリクエストを開始します。 2。asyncio.gatherを組み合わせてasyncio.gatherを組み合わせると、パフォーマンスが大幅に向上する可能性があり、合計時間は最も遅いリクエストに等しくなります。 3.カスタムヘッダー、認証、base_url、タイムアウト設定をサポートします。 4。投稿リクエストを送信してJSONデータを伝達できます。 5.同期非同期コードの混合を避けるために注意してください。プロキシサポートは、クローラーやAPI集約、その他のシナリオに適したバックエンド互換性に注意を払う必要があります。
パイソンリストへの変換の例
Jul 26, 2025 am 08:00 AM
文字列リストは、 '' .join(words)などのJoIn()メソッドとマージして、「Helloworldfrompython」を取得できます。 2。NUMBERリストは、参加する前にMAP(STR、数字)または[STR(x)forxinNumbers]を備えた文字列に変換する必要があります。 3.任意のタイプリストは、デバッグに適したブラケットと引用符のある文字列に直接変換できます。 4。カスタム形式は、 '|' .join(f "[{item}]" foriteminitems)output "[a] | [などのjoin()と組み合わせたジェネレーター式によって実装できます。
メモリバウンド操作のためのPythonの最適化
Jul 28, 2025 am 03:22 AM
Pythoncanbeoptimizedformemory-boundoperationsは、ヘッドゲネレーター、EfficientDataStructures、およびManagingObjectlifetimes.first、Usegeneratoratoratoratoratoratoraturatussを使用していることを確認してください
PythonはSQL Server Pyodbcの例に接続します
Jul 30, 2025 am 02:53 AM
Pyodbcのインストール:Pipinstallpyodbcコマンドを使用してライブラリをインストールします。 2.接続sqlserver:pyodbc.connect()メソッドを介して、ドライバー、サーバー、データベース、uid/pwdまたはtrusted_connectionを含む接続文字列を使用し、それぞれSQL認証またはWindows認証をサポートします。 3.インストールされているドライバーを確認します:pyodbc.drivers()を実行し、「sqlserver」を含むドライバー名をフィルタリングして、「sqlserverのodbcdriver17」などの正しいドライバー名が使用されるようにします。 4.接続文字列の重要なパラメーター
python shotil rmtreeの例
Aug 01, 2025 am 05:47 AM
shutil.rmtree()は、ディレクトリツリー全体を再帰的に削除するPythonの関数です。指定されたフォルダーとすべてのコンテンツを削除できます。 1.基本的な使用法:shutil.rmtree(PATH)を使用してディレクトリを削除すると、FilenotFounderror、PermissionError、その他の例外を処理する必要があります。 2。実用的なアプリケーション:一時的なデータやキャッシュディレクトリなど、サブディレクトリとファイルを1回クリックして含むフォルダーをクリアできます。 3。注:削除操作は復元されません。 FilenotFounderrorは、パスが存在しない場合に投げられます。許可またはファイル職業のために失敗する可能性があります。 4.オプションのパラメーター:INGRORE_ERRORS = trueでエラーを無視できます
Python psycopg2接続プールの例
Jul 28, 2025 am 03:01 AM
psycopg2.pool.simpleconnectionPoolを使用して、データベース接続を効果的に管理し、頻繁な接続の作成と破壊によって引き起こされるパフォーマンスオーバーヘッドを回避します。 1.接続プールを作成するときは、接続プールが正常に初期化されていることを確認するために、接続パラメーターとデータベース接続パラメーターの最小数と最大数を指定します。 2。getConn()を介して接続を取得し、putconn()を使用して、データベース操作を実行した後に接続をプールに戻します。絶えずconn.close()を呼び出すことは禁止されています。 3. SimpleConnectionPoolはスレッドセーフであり、マルチスレッド環境に適しています。 4.コンテキストマネージャーと組み合わせてコンテキストマネージャーを実装して、例外が記載されているときに接続を正しく返すことができることを確認することをお勧めします。
