1. get_valid_filename是什么?
django.utils.text.get_valid_filename是一个将字符串转换为可以安全用于文件系统的文件名的简单帮助函数。
它会移除或替换大多数操作系统(如Windows、macOS、Linux)中被禁止或有问题的字符(如斜杠、控制字符等),并将字符串标准化为可预测的格式。
为什么需要它?
当用户上传文件或使用任意输入(例如博客标题、用户标签)生成文件名时,如果文件名中包含斜杠(../etc/passwd)这样的目录遍历或非正常字符,可能会导致文件系统崩溃或产生安全漏洞。
2. 工作原理
from django.utils.text import get_valid_filename
raw = "My: New/Project? 2024*"
safe = get_valid_filename(raw)
print(safe) # → "My_New_Project_2024"
主要操作
| 输入 | 结果 | 说明 |
|---|---|---|
"my file.txt" |
"my_file.txt" |
空格 → 下划线 |
"../etc/passwd" |
"etc_passwd" |
前面的点·斜杠被移除 |
"file<name>.txt" |
"file_name_.txt" |
<·>被替换 |
" " |
"" |
只有空格则返回空字符串 |
"a"*300 |
"a"*255 |
裁剪到文件系统限制(255字节) |
该函数是跨平台的,只允许安全字符集([A-Za-z0-9_.-]),其它字符被替换为下划线(_)。
3. 有用的场景
| 场景 | 必要性 |
|---|---|
| 用户上传 | 防止目录遍历(../../etc/passwd)和禁用字符 |
| 基于slug的文件名 | 将博客标题转换为静态网站的文件名 |
| 数据导出 | 生成包含数据库字段(如逗号、引号等)的CSV/JSON文件名 |
| 自动备份 | 从随机字符串中生成包含时间戳的备份文件名 |
4. 实际示例:图像上传保存
# views.py
from django.shortcuts import render
from django.core.files.storage import default_storage
from django.utils.text import get_valid_filename
def upload_image(request):
if request.method == 'POST':
uploaded = request.FILES['image']
# 整理原始文件名
safe_name = get_valid_filename(uploaded.name)
# 如有必要,添加用户ID或时间戳
final_name = f"{request.user.id}_{safe_name}"
path = default_storage.save(f"uploads/{final_name}", uploaded)
return render(request, 'success.html', {'path': path})
return render(request, 'upload.html')
结果
无论用户如何指定文件名,保存的名称都是安全的,没有目录遍历的风险,并且重复的可能性很低。
5. 快速参考
from django.utils.text import get_valid_filename
# 1. 基本整理
safe = get_valid_filename("My: New/Project? 2024*") # → "My_New_Project_2024"
# 2. 用于文件路径
path = f"media/{safe}.jpg"
# 3. 结合UUID以确保唯一性
import uuid
unique_name = f"{uuid.uuid4().hex}_{safe}.jpg"
6. 核心总结
get_valid_filename能够用一行代码保护文件系统不受危险名称的影响。- 每当您要将用户输入或任意字符串转换为文件名时,请使用此函数。
- 代码整洁、跨平台并且在安全性上有保障。
提示: 如果需要保留空格或保留Unicode,可以结合
slugify或创建自定义帮助函数,但大多数情况下,get_valid_filename是最合适的。
目前没有评论。