Должны ли мы очищать имена файлов, загруженных на сервер?

Question

При загрузке файлов на сервер. Следует ли дезинфицировать имя файла? т.е. избегать не-ASCII символов, таких как é или &?

Или мы должны разрешить сохранение этих файлов как есть?

PS. В Rails 3 я не могу вспомнить метод. Он меняет не-ascii символы на подчеркивания и т. Д. Кто-то напоминает мне, пожалуйста. Это не sanitize. Это другой метод.

Answer 1

Имейте в виду, что вы очищаете /, \ и \ 0, если они отправлены пользовательскими агентами maliciuos. Если ваша файловая система полностью поддерживает Unicode, я бы сохранил их, как они были отправлены агентом.

Мое предпочтительное решение: Используйте уникальный идентификатор в качестве имени файла и сохраните реальное имя файла в дополнительном файле или базе данных. Таким образом, ваше приложение становится переносимым для систем, не поддерживающих Unicode