上传文件后解压,是后台再常见不过的操作。但很多人对解压的理解还停留在“把 zip 拖进去、点确定”这个阶段。说白了,压缩包不是可信输入,里面随便一个 ../etc/passwd 就能让你栽跟头。今天把解压里最容易出事的几类坑掰开聊,附带可直接用的代码。 压缩包里的文件名可以写成 ../../var/www/html/index.php。如果你直接 extractall(),它真的能覆盖 别让解压变成“炸包”——防止解压类漏洞的几个姿势 安全