Flask多文件上传与安全保存方法

本文深入剖析了Flask中多文件上传的完整安全实践，从正确获取多个FileStorage对象（必须使用`request.files.getlist()`而非`request.files[]`）、严格校验文件类型（双重检查后缀与文件头magic bytes，杜绝前端绕过）、实时限流防DOS攻击，到彻底防范路径遍历（强制重命名+`secure_filename`+`os.path.realpath`路径白名单校验），再到本地调试常见陷阱（并发阻塞、curl测试要点、调试技巧），每一步都直击生产环境真实风险，强调“漏掉任意一环，上传接口即裸奔”，为开发者提供可直接落地、经得起攻击检验的硬核解决方案。

Flask request.files 怎么取多文件且不漏传

前端用 <input type="file" multiple> 传多个文件，后端 request.files 默认只返回第一个同名 key 的文件对象——这不是 bug，是 Werkzeug 的设计：它把同名字段当单值处理。要拿到全部，必须用 request.files.getlist()。

• request.files['files'] → 只拿第一个（即使 HTML 有 multiple）
• request.files.getlist('files') → 正确获取全部，返回 FileStorage 对象列表
• 前端 name 属性必须一致，比如都叫 files，不能一个叫 file1 一个叫 file2
• 如果前端用了 FormData.append('files', file) 循环添加，后端也得用 getlist('files')，不是 getlist('file')

怎么验证上传文件的类型和大小才不被绕过

仅靠前端 accept 或 JS 检查毫无意义，攻击者删掉标签或发 curl 就能绕过。Flask 层必须做两件事：检查 filename 后缀 + 读取文件头（magic bytes），再限制内存中读取长度防止 DOS。

• 别信 file.filename 的扩展名，用户可伪造为 shell.php.jpg；先用 os.path.splitext(file.filename)[1].lower() 提取后缀，再比对白名单（如 ['.jpg', '.png', '.pdf']）
• 更可靠的是用 python-magic 库读前几百字节判断真实 MIME：magic.from_buffer(file.read(1024), mime=True)，但注意 file.read() 会移动指针，后续保存前得 file.seek(0)
• 单文件大小限制别只靠 request.max_content_length（全局配置），它在解析完才触发，恶意超大文件已进内存；应在循环里用 file.stream.read(1) 配合计数器实时拦截

安全保存路径怎么防 ../ 路径遍历

用户传个 filename="../../etc/passwd"，直接 os.path.join(UPLOAD_FOLDER, file.filename) 就完蛋。核心原则：永远不信任原始 filename，必须清洗、重命名、限定根目录。

• 绝对不要用 os.path.normpath() 或正则替换 .. —— 绕过方式太多（%2e%2e/、....//、Unicode 点号）
• 正确做法：提取原始文件名中的字母数字部分，加时间戳和随机串重命名，强制固定后缀：secure_filename(f"{int(time.time())}_{secrets.token_hex(4)}{ext}")，再拼路径
• secure_filename() 是 Werkzeug 提供的，但它只处理 ASCII 字符和基本路径符号，不防空字节或 Unicode 归一化攻击，所以仍需配合重命名
• 保存前用 os.path.realpath() 检查最终路径是否仍在 UPLOAD_FOLDER 下：if not os.path.realpath(filepath).startswith(os.path.realpath(UPLOAD_FOLDER)): 报错退出

Flask 开发时本地测试上传容易卡住的坑

用 curl -F 'files=@a.jpg' -F 'files=@b.pdf' http://localhost:5000/upload 测试多文件时，如果没设 Content-Type: multipart/form-data，Flask 会收不到 request.files——但 curl 自动加了，问题常出在别的地方。

• 开发服务器（app.run()）默认不支持并发上传，两个大文件同时传可能阻塞，表现为浏览器 spinner 转半天、curl 卡住；换 gunicorn 或加 threaded=True 参数可缓解
• Chrome DevTools 的 Network 面板有时不显示 multipart 请求体内容，误以为没传过去；用 print(request.files) 和 print(len(request.files.getlist('files'))) 直接看后端实际收到几个
• 调试时别用 file.save() 直接写磁盘，先 file.stream.read() 打印长度或 file.content_type，避免权限错误掩盖逻辑问题

路径清洗和文件头校验这两步，漏掉任意一个，上传接口就等于裸奔。别省那几行代码。

本篇关于《Flask多文件上传与安全保存方法》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！