Colin's Blog
[파이썬] 안전한 파일 업로드 및 다운로드 구현

파일 업로드와 다운로드는 웹 애플리케이션에서 빈번하게 사용되는 기능 중 하나입니다. 그러나 파일 업로드 및 다운로드를 구현할 때 보안적인 측면을 고려해야 합니다. 이는 악의적으로 변경될 수 있는 파일을 업로드하거나, 악성 코드가 포함된 파일을 다운로드할 수 있는 가능성을 방지하기 위해 필요합니다.

Python은 안전한 파일 업로드 및 다운로드를 구현하는 데 매우 효과적인 도구입니다. 이 포스트에서는 Python을 사용하여 안전한 파일 업로드 및 다운로드를 구현하는 방법을 알아보겠습니다.

1. 파일 업로드 구현

파일 업로드는 사용자가 웹 애플리케이션을 통해 서버로 파일을 전송하는 프로세스입니다. 악성 파일을 업로드할 수 있는 가능성을 방지하기 위해 다음과 같은 단계를 따르는 것이 좋습니다.

a. 파일 확장자 검사

파일 확장자를 검사하여 업로드할 수 있는 허용된 파일 형식인지 확인하는 것이 중요합니다. 이를 위해 Python의 os 모듈을 사용할 수 있습니다. 다음은 예시 코드입니다.

import os

ALLOWED_EXTENSIONS = {'txt', 'pdf', 'docx'}  # 허용된 파일 형식

def allowed_file(filename):
    return '.' in filename and \
           filename.rsplit('.', 1)[1].lower() in ALLOWED_EXTENSIONS

if allowed_file('example.txt'):
    print("Allowed file")
else:
    print("Invalid file")

위의 예시에서는 allowed_file() 함수를 사용하여 파일이 ALLOWED_EXTENSIONS 집합에 있는 유효한 확장자를 가지는지 확인합니다. 이 메서드는 파일 이름에 “.”이 포함되어 있고, 파일 확장자가 허용 목록에 있는지 확인합니다.

b. 파일 저장 경로 설정

업로드된 파일을 안전하게 저장하기 위해 파일 저장 경로를 설정해야 합니다. Python에서는 os 모듈을 사용하여 파일을 저장할 디렉토리를 만들고 해당 디렉토리에 파일을 저장할 수 있습니다. 다음은 예시 코드입니다.

import os

UPLOAD_FOLDER = '/path/to/uploads'  # 파일 저장 경로

if not os.path.exists(UPLOAD_FOLDER):
    os.makedirs(UPLOAD_FOLDER)

# 업로드된 파일 저장
file = request.files['file']
file.save(os.path.join(UPLOAD_FOLDER, file.filename))

위의 예시에서는 UPLOAD_FOLDER 변수를 사용하여 파일이 저장될 디렉토리를 설정합니다. os.makedirs() 함수는 디렉토리가 존재하지 않는 경우 해당 디렉토리를 생성합니다. file.save() 함수를 사용하여 업로드된 파일을 저장합니다.

2. 파일 다운로드 구현

파일 다운로드는 서버에서 파일을 클라이언트로 전송하는 프로세스입니다. 이 과정에서 다음과 같은 보안 전략을 고려해야 합니다.

a. 경로 조작 방지

경로 조작은 악의적인 사용자가 서버 파일 시스템의 지정된 경로 외부에 있는 파일에 액세스할 수 있는 가능성을 가리킵니다. 경로 조작을 방지하기 위해 Python의 os 모듈의 os.path.abspath() 함수를 사용하여 절대 경로로 변환할 수 있습니다. 다음은 예시 코드입니다.

import os

DOWNLOAD_FOLDER = '/path/to/downloads'  # 파일 다운로드 경로

filename = 'example.txt'
path = os.path.abspath(os.path.join(DOWNLOAD_FOLDER, filename))

# 파일 다운로드
return send_file(path, as_attachment=True, attachment_filename=filename)

위의 예시에서는 os.path.abspath() 함수를 사용하여 DOWNLOAD_FOLDERfilename을 이용하여 절대 경로를 생성합니다. send_file() 함수를 사용하여 클라이언트에 파일을 전송할 수 있습니다. as_attachment=True를 지정하여 파일을 첨부 파일로 다운로드하도록 설정합니다.

b. 다운로드 제한

서버의 파일 시스템에 액세스할 수 있는 모든 파일을 클라이언트에게 다운로드할 수 있다면 보안적인 위험성이 발생할 수 있습니다. 따라서 다운로드를 제한하는 것이 중요합니다. 애플리케이션에서 허용되는 파일에 대한 파일명 목록을 만들고, 다운로드 요청이 들어올 때 이 목록을 확인하여 허용된 파일만 다운로드하도록 구현하는 것이 좋습니다.

이러한 방법으로 Python을 사용하여 안전한 파일 업로드 및 다운로드를 구현할 수 있습니다. 파일의 유효성 검사, 저장 경로 설정, 경로 조작 방지 및 다운로드 제한을 통해 애플리케이션의 보안을 강화할 수 있습니다.

© 2018 Colin. All rights reserved.