python - 清理任意用户输入

Question

我正在开发一个接受 STL 文件的 Web 服务，对它们进行一些简单的处理（计数方面，计算总体积等）并向用户返回一些统计信息。没有计划数据库或持久性（尽管将来可能会添加）。用户可以上传文件或指向 URL。

为了清理使用输入并保护 Tornado 服务器，我应该考虑什么？

• 我正在使用自动转义 html 的模板系统。
• 我还可以实现在解析时检查输入“看起来像”有效的 STL 格式的逻辑：二进制 STL 只是浮点数；我也知道 ascii STL 的格式是什么样的。
• 我做了一些初步研究，包括：
  • 何时最好清理用户输入？
  • 清理用户输入的最佳方法是什么？
  • 好多其它的。

我错过了什么明显的东西吗？

Answer 1

没有你提供代码，我们所能做的就是推测：

1. 在表示之间转换时考虑边界条件（二进制 -> 浮点数，ascii -> 二进制）
2. 想想计算后的统计数据将在网络浏览器中呈现吗？是否可以打印一些 UTF-8 代码，或者是否可以插入 javascript？