filepath.Clean仅规范化路径,不校验合法性;防目录穿越需用filepath.Abs+strings.HasPrefix比对根目录;os.Stat是唯一能确认路径可访问性的标准方式。
Go 中 filepath.Clean 不能代替路径合法性校验
filepath.Clean 只做规范化(如 ../ 折叠、重复 / 合并),不检查路径是否存在、是否越界或是否符合 OS 约束。比如 filepath.Clean("../etc/passwd") 返回 "../etc/passwd",但它显然可能逃出预期根目录——这不属于“合法”路径的范畴。
所谓“合法”,需按使用场景明确定义:是能被 os.Open 打开?还是必须落在某个白名单根目录下?或是仅语法上无空字符、控制符、NUL?
- 若目标是「防止目录穿越」,必须结合根目录做绝对路径比对,不能只信
Clean - 若目标是「避免非法文件名」,Windows 下需拒绝
:*?"|,Linux 下主要防 NUL(\x00)和 trailing slash(对普通文件) -
filepath.FromSlash和filepath.ToSlash仅处理分隔符,不涉及合法性
用 filepath.Abs + strings.HasPrefix 防目录穿越
这是最常用且可靠的白名单路径限制方式:先转成绝对路径,再判断是否以允许的根路径开头。注意必须用 filepath.Abs,而非直接拼接,否则相对路径绕过检测极容易。
root := "/data/uploads"
userPath := "../etc/passwd"
absPath, err := filepath.Abs(filepath.Join(root, userPath))
if err != nil {
// 处理路径解析失败(如含非法字符)
return false
}
if !strings.HasPrefix(absPath, filepath.Clean(root)+string(filepath.Separator)) {
return false // 越权
}
关键点:
立即学习“go语言免费学习笔记(深入)”;
-
filepath.Clean(root)防止 root 自身带..引入漏洞 - 结尾加
string(filepath.Separator)避免前缀误匹配(如/data/upload匹配/data/uploads/xxx) - 该方法不保证路径存在,只保证没逃出根目录
os.Stat 是唯一能确认“路径可访问”的标准方式
语法合法 ≠ 存在 ≠ 有权限。只有 os.Stat(或 os.Open)能真实反映 OS 层面的状态。它会返回具体错误,据此可区分场景:
-
os.IsNotExist(err)→ 路径不存在 -
os.IsPermission(err)→ 权限不足(常见于目录无执行位、文件无读位) -
err == nil→ 路径存在且可访问(但不等于“是文件”或“是目录”,需查fi.Mode().IsDir()) - 其他错误(如
syscall.ENAMETOOLONG)说明路径本身超长或含非法字节
注意:os.Stat 会触发系统调用,频繁调用有性能开销;生产中建议只在校验关键入口(如上传保存前)使用。
Windows 下额外要过滤的非法字符
Windows 对文件名有硬性保留字和禁用字符,os.Open 可能静默失败或返回奇怪错误(如 "Invalid argument")。建议在路径拼接后、调用 os 函数前主动过滤:
func isValidWindowsFilename(name string) bool {
for _, c := range name {
switch c {
case '<', '>', ':', '"', '/', '\\', '|', '?', '*':
return false
}
}
// 检查保留设备名(不区分大小写)
switch strings.ToUpper(name) {
case "CON", "PRN", "AUX", "NUL", "COM1", "COM2", "COM3", "COM4",
"COM5", "COM6", "COM7", "COM8", "COM9", "LPT1", "LPT2", "LPT3",
"LPT4", "LPT5", "LPT6", "LPT7", "LPT8", "LPT9":
return false
}
return true
}
Linux/macOS 虽宽松,但仍应检查 \x00(Go 字符串允许含 NUL,但 syscall 会截断)和末尾空格(部分 fs 行为异常)。
真正麻烦的从来不是怎么写判断逻辑,而是你得想清楚:这个“合法”到底服务于哪个环节——是用户输入过滤?服务端存储约束?还是跨平台兼容性兜底?不同目标,检查粒度和位置完全不同。
