用archive/zip压缩单个文件时必须用zip.FileInfoHeader从os.FileInfo提取ModTime和Mode,否则解压后时间戳为1970年、权限丢失;递归压缩目录需规范路径、避免符号链接循环、正确处理目录项和路径安全校验。
用 archive/zip 压缩单个文件时,别漏掉文件头里的 FileInfo
直接写入原始字节到 zip.Writer 不会自动带文件元信息(如修改时间、权限),解压后可能变成 1970 年的时间戳或不可执行。必须用 zip.FileHeader 包装,且推荐调用 zip.FileInfoHeader 生成——它能从 os.FileInfo 正确提取 ModTime 和 Mode()。
常见错误是手动 new 一个 zip.FileHeader 后只设 Name 和 UncompressedSize64,结果解压时丢失时间与权限:
// ❌ 错误:时间戳为零值,权限默认 0
header := &zip.FileHeader{Name: "data.txt"}
// ✅ 正确:从 FileInfo 推导完整元数据
fi, _ := os.Stat("data.txt")
header, _ := zip.FileInfoHeader(fi)
header.Name = "data.txt" // Name 默认含路径,需显式重置
递归压缩整个目录要注意路径处理和符号链接
Go 标准库不自动跳过 .. 或处理相对路径,如果传入 ../sibling 这类路径,filepath.Walk 可能越界读取;同时默认会跟随符号链接,导致重复打包或循环引用。
建议做法:
立即学习“go语言免费学习笔记(深入)”;
- 用
filepath.Abs规范起始路径,再在遍历中用strings.HasPrefix检查是否仍在目标目录内 - 调用
os.Lstat而非os.Stat,避免跟随 symlink;遇到ModeSymlink时可选择跳过或单独存为 symlink 条目(需设置header.Method = zip.Store并写入 target 路径) - 目录项本身也要写入,
header.Name末尾加/,且header.IsDir()返回 true
gzip 和 zip 别混用:它们不是同一层的东西
新手常以为 compress/gzip 能直接压缩“多个文件”,其实 gzip 是单流压缩格式,只适合压缩单个文件或字节流;而 zip 是容器格式,自带目录结构、多文件索引和可选压缩算法(Deflate 是默认,但也可设为 Store 不压缩)。
MicroCMS单文件开源企业系统是一个轻量级的企业网站解决方案,基于 PHP + [MySQL/Sqlite] 的技术开发,整个系统压缩为单个PHP文件,全部源码开放,数据库结构完全兼容ECMS,适用于普通企业官网、企业商城类型网站搭建。
所以:
- 想打包多个文件 → 用
archive/zip - 只想压缩一个大日志文件节省空间 → 用
compress/gzip更快、更轻量 - 不要对 zip 文件再套一层 gzip(即
.zip.gz),解压逻辑会变复杂,且多数工具不识别
解压时用 zip.Reader.Open 而非直接读 File.Data
zip.File.Data 是未解压的原始字节(可能是 deflate 压缩过的),直接读会得到乱码;正确方式是调用 file.Open() 获取一个 io.ReadCloser,它内部已按 file.Method 自动解压。
另一个关键点是路径安全校验:攻击者可构造 ../../../etc/passwd 类似路径绕过限制。务必用 filepath.Clean + strings.HasPrefix 检查是否仍在目标解压目录内:
for _, file := range r.File {
zpath := filepath.Clean(file.Name)
if strings.HasPrefix(zpath, ".."+string(filepath.Separator)) || strings.Contains(zpath, string(filepath.Separator)+".."+string(filepath.Separator)) {
return fmt.Errorf("illegal path: %s", file.Name)
}
dst := filepath.Join(destDir, zpath)
// ...
}
真正麻烦的永远不是 API 调用,而是路径规范化、权限继承、符号链接边界和并发写入冲突——这些细节没处理好,压缩包在某些系统上就打不开,或者悄悄覆盖了不该碰的文件。
