FLask上传文件

Flask上传文件

目录

• Flask上传文件
  • 改进上传
  • 上传进度条
  • 一个更简便的方案

文件上传的基本原理实际上很简单，基 本上是：

1. 一个带有 enctype=multipart/form-data 的 <form> 标记，标记中含有 一个 <input type=file> 。
2. 应用通过请求对象的 files 字典来访问文件。
3. 使用文件的 save() 方法把文件 永久地保存在文件系统中。

例，上传文件html页：

<form action="" method="post" enctype="multipart/form-data">
    {% csrf_token %}
    <input type="file" name="img">
    <input type="submit" value="上传">
</form>

让我们从一个基本的应用开始，这个应用上传文件到一个指定目录，并把文件显示给 用户。

以下是应用的前导代码:

import os,sys
from flask import Flask, flash, request, redirect, url_for
from werkzeug.utils import secure_filename

# 为了便于迁移，上传文件的路径使用了os模块来寻找当前文件夹拼接windows文件分隔符再拼接真正的目录名，
# 例如我的就是uploads，最后再加上一个文件分隔符即可。
UPLOAD_FOLDER =os.path.curdir+os.path.sep+'uploads'+os.path.sep
ALLOWED_EXTENSIONS = set(['txt', 'pdf', 'png', 'jpg', 'jpeg', 'gif'])

app = Flask(__name__)
app.config['UPLOAD_FOLDER'] = UPLOAD_FOLDER

首先我们导入了一堆东西，大多数是浅显易懂的。 werkzeug.secure_filename() 会在稍后解释。 UPLOAD_FOLDER 是上传文 件要储存的目录， ALLOWED_EXTENSIONS 是允许上传的文件扩展名的集合。

注：为了便于迁移，上传文件的路径我使用了os模块来寻找当前文件夹拼接windows文件分隔符再拼接真正的目录名。例如我的就是uploads，最后再加上一个文件分隔符即可。

python中os.path常用模块:

os.path.sep -->windows路径分隔符
os.path.altsep -->linux下就用:'/' 

根目录:os.path.curdir
当前目录:os.path.pardir
父目录:os.path.abspath(path)
绝对路径:os.path.join()

常用来链接路径:os.path.split(path),把path分为目录和文件两个部分,以列表返回。

• 为什么要限制文件的扩展名呢？

如果直接向客户端发送数据，那么你可能不会想让用户上传任意文件。否则，你必须确保用户不能上传 HTML 文件，因为 HTML 可能引 起 XSS 问题（参见 跨站脚本攻击（XSS） ）。如果服务器可以执行 PHP 文件，那么还必须确保不允许上传 .php 文件。

下一个函数检查扩展名是否合法，上传文件，把用户重定向到已上传文件的 URL:

def allowed_file(filename):
    # 获取文件扩展名，以'.'为右分割然后取第二个值
    return '.' in filename and \
        filename.rsplit('.', 1)[1].lower() in ALLOWED_EXTENSIONS

@app.route('/', methods=['GET','POST'])
def upload_file():
    if request.method == 'POST':
        # check if the post request has the file part
        if 'file' not in request.files:
            flash('No file part')
            return redirect(request.url)
        file = request.files['file']
        # 如果没有选择文件，浏览器也可以提交一个没有文件名的空部分
        if file.filename == '':
            flash('No selected file')
            return redirect(request.url)
        # 如果有文件且文件扩展名允许
        if file and allowed_file(file.filename):
           filename = secure_filename(file.filename)
           # 拼接保存文件路径
           file.save(os.path.join(app.config['UPLOAD_FOLDER'],filename))
           # 返回反向解析得到的URL
           return redirect(url_for('uploaded_file', filename=filename))
    return '''
    <!doctype html>
    <title>Upload new File</title>
    <h1>Upload new File</h1>
    <form method=post enctype=multipart/form-data>
      <input type=file name=file>
      <input type=submit value=Upload>
    </form>
    '''

那么 secure_filename() 函数到底是有什么用？

有一条原则是“永远不要信任用户输入”。

这条原则同样适用于已上传文件的文件名。所有提交的表单数据可能是伪造的，文件名也可以是危险的。此时要谨记：在把文件保存到文件系统之前总是要使用secure_filename这个函数对文件名进行安检。

进一步说明

你可以会好奇 secure_filename() 做了哪些工作，如果 不使用它会有什么后果。假设有人把下面的信息作为 filename 传递给你的应 用:

filename = "../../../../home/username/.bashrc"

假设 ../ 的个数是正确的，你会把它和 UPLOAD_FOLDER 结合在一起，那 么用户就可能有能力修改一个服务器上的文件，这个文件本来是用户无权修改的。 这需要了解应用是如何运行的，但是请相信我，黑客都是很变态的