tarfile.open()打开tar.gz文件必须显式指定mode='r:gz',否则报OSError;解压前须用os.path.normpath和isabs校验路径防穿越,extractfile()可安全读取单个文件。tarfile.open() 打开 tar.gz 文件必须指定 mode='r:gz'不加 mode 或写错模式(比如只写 'r')会导致报错 OSError: Not a gzipped file,哪怕文件后缀是 .tar.gz。Python 的 tarfile 不会自动根据后缀推断压缩方式,必须显式声明。常见错误是直接 tarfile.open('a.tar.gz'),结果在读取时才崩;正确做法是:import tarfilewith tarfile.open('archive.tar.gz', mode='r:gz') as tf: tf.extractall()'r:gz' 表示以 gzip 方式读取 tar 流;'r:bz2' 和 'r:xz' 同理如果用 'r',它只尝试 raw tar,遇到 gzip 头就失败Windows 上路径含中文时,extractall() 可能解出乱码名,需额外处理 encoding 参数extractall() 默认解压到当前目录,路径穿越风险要手动过滤tarfile 不做路径安全检查,恶意包里含 ../../../etc/passwd 这种路径会真实写入系统关键位置。生产环境必须校验成员路径。推荐在 extractall() 前先遍历 getmembers(),过滤掉非相对路径:立即学习"Python免费学习笔记(深入)"; 蝉妈妈AI 电商人专属的AI营销助手
相关推荐
landyjzlai16 小时前
蓝迪哥玩转Ai(8)---端侧AI:RK3588 端侧大语言模型(LLM)开发实战指南S1998_1997111609•X17 小时前
论当今社会主义与人文关怀人格思想下的恶意仿生注入污染蜜罐描述进行函数值非法侵入爬虫的咼忄乂癿〇仺⺋.我叫黑大帅17 小时前
如何通过 Python 实现招聘平台自动投递其实防守也摸鱼18 小时前
CTF密码学综合教学指南--第九章砚底藏山河18 小时前
Python量化开发:2026最佳实时股票数据API接口推荐与对比倔强的石头_18 小时前
kingbase备份与恢复实战(六)—— 备份自动化与保留策略:Windows任务计划+日志追溯研究点啥好呢19 小时前
专为求职者开发的“面馆”!!!摆脱面试焦虑!!!轻刀快马19 小时前
别被 ORM 框架宠坏了:从一场“订单消失”悬案,看懂 MySQL 为什么要强推 InnoDBDFT计算杂谈19 小时前
自动化脚本一键绘制三元化合物相图EW Frontier20 小时前
6G ISAC新范式:基于智能漏波天线的Wi‑Fi通感一体化系统设计与实测【附MATLAB+python代码】