如何清理用户为网络应用程序创建的文件名？

Question

我正在开发一个即时消息应用程序，用户可以在其中接收来自朋友的文件。

接收到的文件的名称由文件的发送者设置，并且可以将多个文件连同子目录一起发送。例如，一起发送的两个文件可能是“1”和“sub/2”，这样下载的结果应该类似于“downloads/1”和“downloads/sub/2”。

我担心这会带来安全影响。我突然想到，对于类 Unix 用户来说，两个潜在危险的文件名可能是“../../../somethingNasty”或“~/somethingNasty”。我想到的其他潜在问题是文件名中包含目标文件系统不支持的字符，但这似乎更难，最好忽略？

我正在考虑剥离收到的“..”和“~”文件名，但我个人认为问题案例的这种黑名单方法似乎不太像是良好安全性的秘诀。建议使用什么方法来清理文件名以确保不会发生任何危险的情况？

如果有什么不同的话，我的应用程序正在使用 QT 框架在 C++ 上运行。

Answer 1

更明智的做法是将“..”替换为 XXX，将 ~ 替换为 YYY。这样您就可以将任何无效路径转换为完全有效的路径。即，如果用户想要上传“../../../somethingNasty” - 没问题，让他上传文件并将其存储在 XXX/XXX/XXX/somethingNasty 中。

或者更好的是，您可以使用 %XY 对所有非字母数字字符（斜线除外）进行编码，其中 XY 是字符的十六进制代码。这样你就会有 %2E%2E/%2E%2E/%2E%2E/SomethingNasty