flask中取多文件需用request.files.getlist('files')获取filestorage列表,而非request.files['files'];须校验文件头mime与后缀、重命名防路径遍历、实时限流防dos。
Flask request.files 怎么取多文件且不漏传
前端用 <input type="file" multiple> 传多个文件,后端 request.files 默认只返回第一个同名 key 的文件对象——这不是 bug,是 Werkzeug 的设计:它把同名字段当单值处理。要拿到全部,必须用 request.files.getlist()。
-
request.files['files']→ 只拿第一个(即使 HTML 有multiple) -
request.files.getlist('files')→ 正确获取全部,返回FileStorage对象列表 - 前端
name属性必须一致,比如都叫files,不能一个叫file1一个叫file2 - 如果前端用了
FormData.append('files', file)循环添加,后端也得用getlist('files'),不是getlist('file')
怎么验证上传文件的类型和大小才不被绕过
仅靠前端 accept 或 JS 检查毫无意义,攻击者删掉标签或发 curl 就能绕过。Flask 层必须做两件事:检查 filename 后缀 + 读取文件头(magic bytes),再限制内存中读取长度防止 DOS。
- 别信
file.filename的扩展名,用户可伪造为shell.php.jpg;先用os.path.splitext(file.filename)[1].lower()提取后缀,再比对白名单(如['.jpg', '.png', '.pdf']) - 更可靠的是用
python-magic库读前几百字节判断真实 MIME:magic.from_buffer(file.read(1024), mime=True),但注意file.read()会移动指针,后续保存前得file.seek(0) - 单文件大小限制别只靠
request.max_content_length(全局配置),它在解析完才触发,恶意超大文件已进内存;应在循环里用file.stream.read(1)配合计数器实时拦截
安全保存路径怎么防 ../ 路径遍历
用户传个 filename="../../etc/passwd",直接 os.path.join(UPLOAD_FOLDER, file.filename) 就完蛋。核心原则:永远不信任原始 filename,必须清洗、重命名、限定根目录。
- 绝对不要用
os.path.normpath()或正则替换..—— 绕过方式太多(%2e%2e/、....//、Unicode 点号) - 正确做法:提取原始文件名中的字母数字部分,加时间戳和随机串重命名,强制固定后缀:
secure_filename(f"{int(time.time())}_{secrets.token_hex(4)}{ext}"),再拼路径 -
secure_filename()是 Werkzeug 提供的,但它只处理 ASCII 字符和基本路径符号,不防空字节或 Unicode 归一化攻击,所以仍需配合重命名 - 保存前用
os.path.realpath()检查最终路径是否仍在UPLOAD_FOLDER下:if not os.path.realpath(filepath).startswith(os.path.realpath(UPLOAD_FOLDER)):报错退出
Flask 开发时本地测试上传容易卡住的坑
用 curl -F 'files=@a.jpg' -F 'files=@b.pdf' http://localhost:5000/upload 测试多文件时,如果没设 Content-Type: multipart/form-data,Flask 会收不到 request.files——但 curl 自动加了,问题常出在别的地方。
立即学习“Python免费学习笔记(深入)”;
- 开发服务器(
app.run())默认不支持并发上传,两个大文件同时传可能阻塞,表现为浏览器 spinner 转半天、curl 卡住;换gunicorn或加threaded=True参数可缓解 - Chrome DevTools 的 Network 面板有时不显示
multipart请求体内容,误以为没传过去;用print(request.files)和print(len(request.files.getlist('files')))直接看后端实际收到几个 - 调试时别用
file.save()直接写磁盘,先file.stream.read()打印长度或file.content_type,避免权限错误掩盖逻辑问题
路径清洗和文件头校验这两步,漏掉任意一个,上传接口就等于裸奔。别省那几行代码。
