Django（音频）文件验证

Posted 2023-02-24

【中文标题】Django（音频）文件验证

【英文标题】：Django (audio) File Validation

【发布时间】：2011-09-05 21:33:23

【问题描述】：

我正在试验一个允许用户上传音频文件的网站。我已经阅读了所有我可以拿到的文档，但找不到太多关于验证文件的内容。

Total newb here（以前从未做过任何类型的任何文件验证）并试图弄清楚这一点。有人能牵着我的手告诉我我需要知道什么吗？

一如既往，提前感谢您。

【问题讨论】：

验证是什么意思？您是否只想验证用户是否上传了任何旧文件？或者验证该文件实际上是一个音频文件？或者进一步验证音频文件的特定属性，即它的长度？

我的意思是（来自 django 文档）：“请注意，每当您处理上传的文件时，您应该密切注意上传它们的位置以及它们是什么类型的文件, 以避免安全漏洞。验证所有上传的文件，以确保文件是您认为的那样。例如，如果您盲目地让某人在没有验证的情况下将文件上传到 Web 服务器文档根目录中的目录，那么有人可以上传 CGI 或 php 脚本并通过访问您网站上的 URL 来执行该脚本。不允许这样做。”

好的，开始上传文件了吗？

此时仅在管理员中。我想我会在为用户创建表单之前设置验证以上传他们的文件并首先自己测试它。如果我要倒退，请告诉我！

【参考方案1】：

您希望在将文件写入磁盘之前对其进行验证。当您上传文件时，表单会得到验证，然后上传的文件会被传递给处理实际写入服务器磁盘的处理程序/方法。因此，在这两个操作之间，您需要执行一些自定义验证以确保它是有效的音频文件

你可以：

检查文件是否小于特定大小（良好做法） 然后检查提交的文件是否具有某种内容类型（即音频文件） 这没什么用，因为有人可以轻松欺骗它 然后检查文件是否以某个扩展名（或多个扩展名）结尾 这也太没用了 尝试读取文件，看看它是否真的是音频

（我没有测试过这段代码）

models.py

class UserSong(models.Model):
    title = models.CharField(max_length=100)
    audio_file = models.FileField()

forms.py

class UserSongForm(forms.ModelForm):
     # Add some custom validation to our file field
     def clean_audio_file(self):
         file = self.cleaned_data.get('audio_file',False):
         if file:
             if file._size > 4*1024*1024:
                   raise ValidationError("Audio file too large ( > 4mb )")
             if not file.content-type in ["audio/mpeg","audio/..."]:
                   raise ValidationError("Content-Type is not mpeg")
             if not os.path.splitext(file.name)[1] in [".mp3",".wav" ...]:
                   raise ValidationError("Doesn't have proper extension")
             # Here we need to now to read the file and see if it's actually 
             # a valid audio file. I don't know what the best library is to 
             # to do this
             if not some_lib.is_audio(file.content):
                   raise ValidationError("Not a valid audio file")
             return file
         else:
             raise ValidationError("Couldn't read uploaded file")

views.py 从 utils 导入 handle_uploaded_file

def upload_file(request):
    if request.method == 'POST':
        form = UserSongForm(request.POST, request.FILES)
        if form.is_valid():
            # If we are here, the above file validation has completed
            # so we can now write the file to disk
            handle_uploaded_file(request.FILES['file'])
            return HttpResponseRedirect('/success/url/')
    else:
        form = UploadFileForm()
    return render_to_response('upload.html', 'form': form)

utils.py

# from django's docs
def handle_uploaded_file(f):
    ext = os.path.splitext(f.name)[1]
    destination = open('some/file/name%s'%(ext), 'wb+')
    for chunk in f.chunks():
        destination.write(chunk)
    destination.close()

https://docs.djangoproject.com/en/dev/topics/http/file-uploads/#file-uploads https://docs.djangoproject.com/en/dev/ref/forms/fields/#filefield https://docs.djangoproject.com/en/dev/ref/files/file/#django.core.files.File

【讨论】：

这是 Django 中文件验证的完整答案。基本上，您总是需要提供对某些库的访问权限，该库可以解析内容标题或打开文件以确定您收到的内容是否属于您期望的类型。这就是(bool) some_lib.is_audio(file.content) 位的作用，您需要找到合适的实现。

哇！谢谢你，谢谢你，谢谢你。这超出了我的预期。 Pastylegs，你是我的英雄！

Filip，解析header就够了吗？ UploadedFile.content_type() 已经在这样做了。

在上面的回复中需要导入os，content-type应该是content_type。

作为这个答案的必然结果，I've written a blog post that discusses image file validation when uploading an image via an URL