tarfile.open()打开tar.gz文件必须显式指定mode='r:gz',否则报OSError;解压前须用os.path.normpath和isabs校验路径防穿越,extractfile()可安全读取单个文件。tarfile.open() 打开 tar.gz 文件必须指定 mode='r:gz'不加 mode 或写错模式(比如只写 'r')会导致报错 OSError: Not a gzipped file,哪怕文件后缀是 .tar.gz。Python 的 tarfile 不会自动根据后缀推断压缩方式,必须显式声明。常见错误是直接 tarfile.open('a.tar.gz'),结果在读取时才崩;正确做法是:import tarfilewith tarfile.open('archive.tar.gz', mode='r:gz') as tf: tf.extractall()'r:gz' 表示以 gzip 方式读取 tar 流;'r:bz2' 和 'r:xz' 同理如果用 'r',它只尝试 raw tar,遇到 gzip 头就失败Windows 上路径含中文时,extractall() 可能解出乱码名,需额外处理 encoding 参数extractall() 默认解压到当前目录,路径穿越风险要手动过滤tarfile 不做路径安全检查,恶意包里含 ../../../etc/passwd 这种路径会真实写入系统关键位置。生产环境必须校验成员路径。推荐在 extractall() 前先遍历 getmembers(),过滤掉非相对路径:立即学习"Python免费学习笔记(深入)"; 蝉妈妈AI 电商人专属的AI营销助手
相关推荐
凯瑟琳.奥古斯特8 分钟前
子查询原理与实战案例解析Eiceblue9 分钟前
Python 操作 Excel:数据分组、分类汇总与取消分组全解KaMeidebaby26 分钟前
卡梅德生物技术快报|酵母双杂交 cDNA 文库构建与蛋白互作筛选流程暴躁小师兄数据学院32 分钟前
【AI大数据工程师特训笔记】第02讲:PostgreSQL数据库生态全景沐风___32 分钟前
App 上架之后:如何看数据、获取用户与持续迭代产品暴躁小师兄数据学院34 分钟前
【AI大模型应用开发工程师特训笔记】第04讲(第9章):文件目录操作夜微凉443 分钟前
三、MySQL疯狂打码的少年1 小时前
CISC vs RISC 对比小新同学^O^1 小时前
Redis的简单总结暴躁小师兄数据学院1 小时前
【AI大数据工程师特训笔记】第11讲:正则表达式与正则函数