在Java里处理文件的技巧 java 

从URL转换为File的方法：

 

1. 先判断URL是否是 file: 开头的

 

2. 用 new File(url.toURI());  来转换为File

 

注意，因为url当有空格时，会被转义为%20，所以要转换为URL，再转为File。另外要注意处理这个转义时不能使用URLDecoder。

 

参考：http://*.com/a/17870390

 

 

 

写这篇Blog，主要是因为看到太多的凌乱的，不安全的处理文件的代码了。甚至可以说每个项目都会有人喜欢写自己的一些FileUitl。。

 

下面介绍一些利用JDK7标准库来灵活处理文件的方法。

 

实用的工具类，Path，Paths，Files，FileSystem 

 

有一些很灵活的处理方法： 

 

 

正确拼接路径不要手动拼接路径

 

不好的代码： 

 

即使是要手动拼接路径，请使用下面两个平台无关的变量： 

正确简洁的方法是使用Paths类： 

 

读取文件的所有内容，文件的所有行

 

读取文件所有内容前，先判断文件大小，防止OOM。 

 

 

利用JDK7的特性，auto close，远离一堆的catch, close

 

 

历遍目录

 

DK7新特性，FileVisitor 

 

 

判断文件是否在父路径下

 

网上流传一种递归判断parent的方式，http://*.com/questions/18227634/check-if-file-is-in-subdirectory

 

但是查阅jdk代码后，发现getParent()函数是通过处理文件名得到的。所以直接比较文件前缀即可。 

请务必注意，file.getCanonicalPath()函数 。

 

 

监视文件改变

 

JDK7新特性，但是API比较难用。TODO 

 

淘宝有个diamond的配置管理项目，是利用定时器不断去读取来文件是否改变的。

 

JDK7则是利用了linux的inotify机制。

 

Web服务器防止非法的文件路径访问

 

字符截断攻击和文件历遍漏洞原理：在文件名中插入%00的URL编码，web服务器会把%00后面的内容抛弃。 

 

例如这样的URL：http://www.test.com/../../../../etc/passwd%00.gif

 

防范方法

 

• 写入文件前，判断文件是否在父路径下，参考上面的函数。 
• 利用Java的安全机制 

 

Tomcat的设置 
http://tomcat.apache.org/tomcat-7.0-doc/security-manager-howto.html

• 静态资源不要自己手写代码去读取，尽量使用Web服务器或者Web框架的本身的静态资源映射功能。

 

比如Tomcat的默认自带的DefaultServlet：

 

Spring mvc可以配置

或者使用spring mvc里的DefaultServletHttpRequestHandler。这个默认优先级是最低的，也就是最后没人处理的URL会交给WebServer本身的default servlet去处理。比如Tomcat的就是上面所说的。

个人推荐使用DefaultServletHttpRequestHandler，因为Web容器的文件访问功能要比Spring mvc自身的要强大。比如Tomcat的DefaultServlet支持Etag，断点续传，缓存等。

参考：

 

http://docs.spring.io/spring/docs/current/spring-framework-reference/html/mvc.html

http://svn.apache.org/repos/asf/tomcat/trunk/java/org/apache/catalina/servlets/DefaultServlet.java