#security
18 éléments
archives: extraction sécurisée (éviter path traversal)
Vérifier les chemins avant extraction d'une archive zip/tar.
hmac: vérifier la signature d'un webhook
Calculer et comparer une signature HMAC de manière sûre.
pathlib.is_relative_to: vérifier l'ancrage dans une base
Empêcher les parcours hors base (path traversal) côté chemin.
pickle: sérialisation (ne chargez jamais un input non fiable)
Sauvegarder/restaurer des objets Python pour un usage local et maîtrisé.
re.escape: éviter l'injection dans des regex
Échapper correctement des fragments dynamiques insérés dans un motif regex.
secrets.compare_digest: comparaison constant-time
Comparer en temps constant pour éviter les attaques temporelles.
shlex.quote: échapper un argument shell en toute sécurité
Générer une chaîne sûre pour le shell sans injection.
sys.set_int_max_str_digits: limiter la conversion d'entiers énormes
Réduire le risque DoS sur int(str) en bornant le nombre de chiffres (3.11+).
umask: définir temporairement un umask pour créations
Contrôler les permissions par défaut lors de la création de fichiers/dirs.
bash: history sécurisé et effacement ciblé
Éviter d'enregistrer des secrets, effacer une ligne, sessions éphémères, timestamps et droits du fichier.
charger un fichier .env de façon sûre
Charger un .env sans eval ni source arbitraire: parsing clé=valeur, quotes optionnelles, CRLF, whitelist.
curl: certificate pinning (SPKI)
Pinner le certificat via l'empreinte SPKI avec curl --pinnedpubkey.