ZIP 打包跨平台坑：中文文件名乱码、压缩比、密码强度怎么选

Q: Windows 打的 ZIP 在 Mac 上中文文件名乱码，怎么办？

Windows 默认用 GBK 编码文件名，Mac 默认按 UTF-8 解读。ZIP 格式 1.0 没规定字符编码——历史上 Windows 用本地代码页（中文 GBK / 日文 Shift_JIS / 韩文 EUC-KR），Mac/Linux 用 UTF-8。ZIP 2.0+ 增加了 UTF-8 标志位（General Purpose Bit Flag bit 11）—— 设置后表示文件名是 UTF-8 编码。但很多老工具（包括 Windows 资源管理器自带的"发送到 → 压缩"）不设置这个标志位，跨平台就乱码。解决方案：(1) 打包方——用 7-Zip / WinRAR 显式选 UTF-8 编码（设置 → 默认编码）；(2) 解压方——Mac 上用 The Unarchiver / Keka，能自动识别 GBK 后转 UTF-8；命令行 unzip -O CP936 file.zip（指定 GBK 解压）。实务：发给跨国 / 跨平台同事的 ZIP 必须用 UTF-8；纯内部 Windows 用什么都行。

Q: 同样的文件，不同压缩级别（最快 / 标准 / 最大）压缩比差多少？

取决于文件类型，差异从 0% 到 50%。已压缩的文件（JPG / MP4 / MP3 / 已 ZIP 过的 / Office 现代格式 .docx 等）—— 各级别压缩比几乎一样（差 < 2%），因为已经是高熵数据没有冗余可压。文本 / 代码文件——最大压缩比最快快 30-50%（如 Python 代码：最快 70% / 最大 50% 即压缩到原大小 50%）；未压缩图像（BMP / TIFF / RAW）—— 各级别差异中等（10-30%）；数据库 / 日志文件——重复模式多，最大压缩可压到 20%。速度差异：最大压缩通常比最快慢 5-10 倍。实务建议：(1) 文本 / 代码 / 数据 → 最大压缩；(2) 媒体文件 → 选最快（节省时间，反正压不动）；(3) 通用场景 → 标准；(4) 已压缩文件混杂 → 用 7z 的 LZMA2 比 ZIP 的 DEFLATE 强 20-40%。

Q: ZIP 加密用 ZipCrypto 还是 AES？默认是哪个？

绝大多数 ZIP 默认 ZipCrypto（弱加密），不要用。ZipCrypto（1989 年 PKZIP 发明）：(1) 流密码，密钥长度 12 字节；(2) 已被破解——已知明文攻击（Known Plaintext Attack）能在几分钟内破解；(3) 任何古早 ZIP 工具都支持（兼容性好）；(4) 不安全——纯心理威慑。AES-256（2003 年加入 ZIP 标准）：(1) 业界标准对称加密；(2) 暴力破解需要 10^77 次尝试，实际不可破；(3) 部分老工具（如 macOS Archive Utility）不支持；(4) 必须显式选择。默认行为：(1) Windows 资源管理器：不支持加密 ZIP；(2) WinRAR / 7-Zip：默认 ZipCrypto，需要手动选 AES-256；(3) macOS zip -e：默认 ZipCrypto。实务：(1) 真正机密 → AES-256（用 7-Zip 加密 → "高级" → 选 AES-256）；(2) 内部公司分享 → AES-256 仍推荐；(3) 兼容性优先 + 不在意安全 → ZipCrypto 但请注意是裸奔状态。

Q: ZIP 密码多长才安全？

取决于加密算法。ZipCrypto —— 任何长度都不安全（已知明文攻击与密码长度无关）；AES-256 —— 12+ 位含大小写字母、数字、特殊字符，实际不可暴力破解。密码强度计算（AES-256）：(1) 6 位纯数字（10^6 = 100 万）—— 现代 GPU 几秒破；(2) 8 位字母数字（62^8 ≈ 218 万亿）—— 几小时；(3) 12 位含大小写字母 + 数字 + 特殊（92^12 ≈ 4.7×10^23）—— 不可破；(4) 16 位 + 全字符 —— 量子计算机时代仍安全。陷阱：(1) 密码用常见词（password, 123456, qwerty）—— 字典攻击秒破；(2) 密码用生日 / 姓名 —— 社工攻击秒破；(3) 密码与文件名相关 —— 智能字典攻击秒破。实务：(1) 使用密码生成器（Bitwarden / 1Password / KeePass）生成 16 位随机密码；(2) 通过另一个安全渠道（电话、面对面）告知接收方；(3) 不要在邮件 / 微信里发"附件密码 abc123"——和不加密差不多。

Q: ZIP 中文压缩用 GBK 还是 UTF-8？怎么强制 UTF-8？

永远用 UTF-8——但要确保工具支持。为什么 UTF-8 优于 GBK：(1) UTF-8 是国际标准，全球工具都能识别；(2) GBK 只能表示中文 + ASCII，发音乐 / emoji / 日文 / 韩文文件名会乱码；(3) ZIP 标准明确推荐 UTF-8（设 bit 11 标志位）。强制 UTF-8 的方法：(1) 7-Zip（Windows）：设置 → 默认编码 → "UTF-8"；或命令行 7z a -mcu archive.zip files/（强制 Unicode）；(2) WinRAR：设置 → 压缩 → "为非 Unicode 文件名使用 UTF-8 编码"；(3) macOS zip 命令：默认 UTF-8，无需设置；(4) Linux zip：默认 UTF-8。接收方：UTF-8 标志位被正确设置时，所有现代工具都能正确显示。陷阱：(1) Windows 资源管理器自带"发送到 → 压缩"始终用 GBK，不能改 —— 必须装 7-Zip / WinRAR；(2) 部分老工具（WinZip 老版）即使发送方用 UTF-8 也按 GBK 解读 —— 在中国大陆没问题，国外可能乱码。

Q: ZIP 文件夹结构怎么保留？为什么有时候解压后所有文件挤到一起？

取决于打包时是否选择"保留路径"。ZIP 内部记录每个文件的相对路径——docs/readme.txt 还是只 readme.txt。典型打包场景：(1) 打包整个文件夹——通常工具默认保留路径（带文件夹名作为根目录）；(2) 多选文件后压缩——可能只保留文件名（无文件夹），或自动用第一个文件的目录作为根；(3) 命令行 zip -r——-r 表示递归，自动保留路径；(4) 命令行 zip 不带 -r——只压缩当前目录的文件，不进子目录。陷阱：(1) 命令行用 cd /path; zip -r out.zip * 会保留路径；用 zip -j out.zip * 不保留路径（-j 是 junk paths）；(2) 解压时也有"保留路径" vs "不保留路径"——多数工具默认保留；(3) 跨平台路径分隔符——ZIP 标准用 /，Windows 工具会处理，但极少数工具用 \ 会破坏跨平台。实务：(1) 检查 ZIP 内结构——unzip -l file.zip；(2) 解压前看清结构，避免文件夹爆炸（"zipbomb"——10MB ZIP 解压成 100GB）。

Q: ZIP 和 7Z / RAR / TAR 比起来，什么时候该用什么？

各有优势。ZIP：(1) 最通用——所有 OS 原生支持；(2) 压缩比中等（DEFLATE）；(3) 单文件加密（AES-256）支持；(4) 适合：跨平台分享、邮件附件、通用归档。7Z（7-Zip）：(1) 压缩比最强（LZMA2 比 DEFLATE 强 20-40%）；(2) AES-256 默认；(3) 不是 OS 原生——接收方需要装 7-Zip；(4) 适合：文本 / 代码归档、备份、空间优先。RAR：(1) 压缩比强（接近 7z）；(2) 修复块（recovery record）—— 损坏后可部分恢复；(3) 商业格式 —— 解压免费但打包需要 WinRAR 授权；(4) 适合：文件传输不稳定的场景。TAR + GZ / BZ / XZ：(1) Unix 传统 —— Linux / Mac 原生；(2) tar.gz 通用、tar.xz 压缩比强；(3) 不支持加密（要加密用 GPG 或外层 ZIP）；(4) 适合：Linux 系统部署、跨发行版分享、备份脚本。实务：(1) 给 Windows 用户 → ZIP；(2) 给 Linux / Mac 用户 → tar.gz / tar.xz；(3) 内部空间敏感 → 7z；(4) 不稳定网络传输 → RAR（带 recovery record）。

Q: ZIP Bomb 是什么？怎么防范？

ZIP Bomb = 极小压缩文件解压成超大文件，攻击解压器。最著名的"42.zip"——42KB ZIP，解压后 4.5PB（嵌套压缩 16 层）。原理：(1) 创建一个 1GB 的全 0 文件 —— ZIP 压缩到几 KB；(2) 把多个这样的文件嵌套压缩 —— 体积指数膨胀；(3) 解压时用户的硬盘 / 内存爆掉。防御（解压方）：(1) 检查解压后大小—— unzip -l file.zip 看预估解压大小，超过预期警惕；(2) 限制解压目标空间—— 在虚拟机 / 容器中解压；(3) 限制嵌套深度—— 多数现代工具自动检测；(4) 安全解压库—— Python zipfile 默认对解压大小不限制，需要手动检查。陷阱：(1) 杀毒软件多数会拦截已知 ZIP Bomb，但变种可能漏过；(2) Web 服务接收用户上传 ZIP 必须做大小校验 + 沙箱解压；(3) 普通用户不会遇到，但开发者写解压代码时要意识到这个攻击。实务：解压来路不明的 ZIP 时，先 unzip -l 看大小再解压。

2026-04-26 · 约 6 分钟 🗂️ ZIP 打包

ZIP 是最古老、最通用的压缩格式（1989 年 PKWARE 发明）—— 几乎所有 OS 原生支持。但通用性的代价是历史包袱：字符编码不规范、加密算法老旧、压缩算法弱于现代格式。理解这些坑能避免”中文乱码""密码秒破""压缩比离谱”等常见问题。

ZIP 的历史包袱清单

问题	历史原因	影响
中文文件名乱码	1989 年没规定字符编码	跨平台共享必踩
ZipCrypto 弱加密	1989 年的算法	密码可分钟级破
压缩比弱	DEFLATE (1993) 已落后	比 7z 大 20-40%
不支持流式加密	设计时无此场景	大文件加密慢
单文件最大 4GB	早期 32 位限制（ZIP64 后破除）	老工具不支持 ZIP64

好消息：现代工具（7-Zip / WinRAR / macOS Archive Utility）都支持 UTF-8 + AES-256 + ZIP64，只要双方都用现代工具就没问题。

中文乱码的原因和解法

打包方：Windows 资源管理器（默认 GBK）
   ↓
ZIP 文件名用 GBK 字节编码
   ↓
传到 Mac
   ↓
Mac 默认按 UTF-8 解读 GBK 字节
   ↓
乱码（"文件.txt" → "????.txt"）

根本解决：用 UTF-8 编码

ZIP 格式 2.0+ 提供 General Purpose Bit Flag 的 bit 11 —— 设为 1 表示文件名是 UTF-8。

工具	默认编码	是否支持 UTF-8	设置
Windows 资源管理器（自带）	GBK	✗ 不支持设置	无
7-Zip（Windows）	GBK	✓	工具 → 选项 → 默认编码 → UTF-8
WinRAR	GBK	✓	设置 → 压缩 → 勾”用 UTF-8 编码”
Bandizip	UTF-8	✓	默认
macOS 归档实用工具	UTF-8	✓	默认
macOS `zip` 命令	UTF-8	✓	默认
Linux `zip` 命令	UTF-8	✓	默认

接收方的应急方案：

平台	方法
macOS	The Unarchiver（自动识别）、Keka
Linux	`unzip -O CP936 file.zip`（强制 GBK 解压）
Windows	7-Zip / WinRAR / Bandizip 多数支持自动识别
命令行（跨平台）	`unzip -O UTF-8 file.zip` 或 `python -c "import zipfile; zipfile.ZipFile('f.zip').extractall()"`

实务建议：

跨平台 ZIP 必须用 UTF-8 —— 装 7-Zip 替代 Windows 自带
接收乱码 ZIP —— 先用 The Unarchiver / Bandizip 试试，多数能自动识别
批处理脚本 —— Python 解压最稳：

import zipfile
import os

with zipfile.ZipFile('file.zip', 'r') as z:
    for name in z.namelist():
        # 尝试 GBK 解码（Windows 老 ZIP）
        try:
            real_name = name.encode('cp437').decode('gbk')
        except:
            real_name = name
        z.extract(name)
        os.rename(name, real_name)

压缩级别与压缩比的真实关系

DEFLATE（ZIP 默认算法）有 9 个级别（0-9）：

级别	名称	速度	体积
0	仅存储	最快	不压缩
1	最快	≈10x	-10%
5	标准	≈3x	-40%
9	最大	1x（基准）	-50%

关键实测数据（1MB 文本 / 代码）：

文件类型	0 级	1 级	5 级	9 级
纯文本（中文 .md）	1MB	350KB	250KB	230KB
代码（JS / Py）	1MB	300KB	200KB	180KB
日志（重复模式）	1MB	200KB	80KB	70KB
已压缩（JPG）	1MB	1MB	0.99MB	0.99MB
已压缩（MP4）	1MB	1MB	1MB	1MB
BMP 图像	1MB	850KB	600KB	500KB

结论：

已压缩文件 → 选 0 级或 1 级（再压也压不动）
文本 / 代码 → 选 9 级（差别明显）
混合文件 → 选 5 级（平衡）
大文件批量 → 速度优先，选 1 级

陷阱：

工具的”最大压缩”可能慢 10 倍，体积只小 10%
已压缩文件用 9 级浪费 CPU 时间
微信 / 邮件附件限制大小 → 选 9 级（值得多等）

加密：ZipCrypto vs AES-256

ZipCrypto（默认）：

1989 年 PKZIP 发明
流密码，12 字节密钥
已破解：已知明文攻击（如果攻击者知道任何 12 字节明文，几分钟内破解整个 ZIP）
仍存在因为：兼容性（所有古老工具都支持）

AES-256：

2003 年加入 ZIP 标准
业界标准（与 HTTPS 同算法）
暴力破解需要 10^77 次尝试，实际不可破
兼容性问题：macOS Archive Utility 不支持（需用 The Unarchiver）

配置方法：

工具	AES-256 设置
7-Zip	”添加到压缩文件” → “加密” → 加密方法选 “AES-256”
WinRAR	设置密码 → 高级 → 选 “ZIP AES-256”
Bandizip	选项 → 加密 → AES-256
命令行 7z	`7z a -p"密码" -mhe=on archive.7z files/` (7z 格式默认 AES-256)
macOS zip	仅支持 ZipCrypto（用 7-Zip 替代）

密码强度速查（AES-256）：

长度	字符集	组合数	暴力破解时间（GPU 集群）
6 位	数字	10^6	1 秒
8 位	字母数字	62^8	几小时
10 位	含特殊字符	92^10	几年
12 位	含特殊字符	92^12	不可破
16 位	全字符	92^16	量子级安全

实务：

真正机密：AES-256 + 16 位随机密码（密码生成器生成）
内部分享：AES-256 + 12 位强密码
兼容性优先：ZipCrypto + 接受裸奔状态
密码传递：通过另一个渠道（电话 / 面对面），不在同一邮件 / 群里发”附件 + 密码”

文件夹结构 vs 扁平化

ZIP 内每个文件记录相对路径：

原结构：
project/
├── README.md
├── src/
│   └── index.js
└── docs/
    └── api.md

ZIP 内部记录：
- project/README.md
- project/src/index.js
- project/docs/api.md

保留 vs 不保留路径：

# 保留路径（推荐）
zip -r out.zip project/

# 不保留路径（所有文件挤到根）
zip -j out.zip project/*

# 只压缩当前目录文件，不进子目录
zip out.zip *  # 不带 -r

陷阱：

不保留路径的 ZIP 解压后所有同名文件冲突
跨平台路径分隔符——ZIP 标准用 /（不是 Windows 的 \）—— 多数工具能处理但极少数老工具会破坏
解压前用 unzip -l file.zip 检查结构

多文件压缩（spanned ZIP）

大于 4GB 的 ZIP 可能：

老工具不支持 ZIP64 → 报错
邮件附件超限 → 需要拆分

拆分方案：

方法	命令	输出
7-Zip 分卷	`7z a -v100m archive.7z files/`	archive.7z.001, .002, …
WinRAR 分卷	GUI 设置卷大小	archive.part01.rar, …
split + zip	`zip -s 100m archive.zip files/`	archive.z01, .z02, .zip

接收方解压：所有分卷在同一目录，解压第一个文件即可（工具自动识别后续）。

ZIP Bomb：恶意压缩

经典案例：42.zip 文件 42KB，解压后 4.5PB（4500TB）。

原理：

创建 1GB 全 0 文件 —— DEFLATE 压成 ≈1MB
16 个 1GB 文件 → 16MB → ZIP 嵌套
第二层：16 个 16MB ZIP 嵌套 → 256MB → ZIP
多层嵌套 → 体积指数爆炸

防御：

import zipfile

def safe_extract(zip_path, output_dir, max_size=10*1024*1024*1024):  # 10GB
    total_size = 0
    with zipfile.ZipFile(zip_path) as z:
        for info in z.infolist():
            total_size += info.file_size
            if total_size > max_size:
                raise Exception("Refusing to extract: zip bomb suspected")
        z.extractall(output_dir)

普通用户：解压陌生 ZIP 前 unzip -l file.zip 看预估大小。

ZIP vs 7Z vs RAR vs TAR：选哪个

格式	压缩比	加密	跨平台	修复	适合
ZIP	★★	AES-256 ✓	★★★★★	✗	通用、邮件附件
7Z	★★★★	AES-256 ✓	★★★（需装 7-Zip）	✗	备份、空间优先
RAR	★★★★	AES-256 ✓	★★（需 WinRAR）	✓ recovery	不稳定网络传输
TAR	✗（仅打包）	✗	★★★★（Unix 系）	✗	Linux 部署
TAR.GZ	★★★	✗	★★★★	✗	Linux 通用
TAR.XZ	★★★★	✗	★★★★	✗	Linux + 空间优先
TAR.ZST	★★★★（快）	✗	★★★	✗	现代 Linux + 速度优先

实战决策：

分发对象是？
├─ 普通用户 / Windows / 邮件附件 → ZIP
├─ 技术用户 / 节省空间 → 7Z
├─ 不稳定下载（断点续传 / 修复需求）→ RAR
├─ Linux / Mac / 部署 → tar.gz / tar.xz
└─ 有 macOS 用户 → 优先 ZIP（macOS Archive Utility 不支持 7z / RAR）

实务建议清单

✅ 必做：

跨平台 ZIP 用 UTF-8 编码（装 7-Zip）
加密用 AES-256 + 12 位随机密码
大文件用 ZIP64（现代工具默认支持）
接收方拿到陌生 ZIP 先 unzip -l 看结构
文本 / 代码用 9 级压缩，已压缩文件用 1 级

❌ 避免：

默认 ZipCrypto 加密（裸奔）
密码与文件相关或常见词
邮件正文同时发附件 + 密码
用 Windows 资源管理器自带压缩（GBK 编码）
解压陌生 ZIP 不看大小（防 ZIP Bomb）

ZIP 的好用在通用，但通用换来一堆历史包袱——记住”UTF-8 + AES-256 + 强密码”三件套，能避免 90% 的 ZIP 坑。

❓ 常见问题

Windows 打的 ZIP 在 Mac 上中文文件名乱码，怎么办？

Windows 默认用 GBK 编码文件名，Mac 默认按 UTF-8 解读。ZIP 格式 1.0 没规定字符编码——历史上 Windows 用本地代码页（中文 GBK / 日文 Shift_JIS / 韩文 EUC-KR），Mac/Linux 用 UTF-8。ZIP 2.0+ 增加了 UTF-8 标志位（General Purpose Bit Flag bit 11）—— 设置后表示文件名是 UTF-8 编码。但很多老工具（包括 Windows 资源管理器自带的"发送到 → 压缩"）不设置这个标志位，跨平台就乱码。解决方案：(1) 打包方——用 7-Zip / WinRAR 显式选 UTF-8 编码（设置 → 默认编码）；(2) 解压方——Mac 上用 The Unarchiver / Keka，能自动识别 GBK 后转 UTF-8；命令行 unzip -O CP936 file.zip（指定 GBK 解压）。实务：发给跨国 / 跨平台同事的 ZIP 必须用 UTF-8；纯内部 Windows 用什么都行。

同样的文件，不同压缩级别（最快 / 标准 / 最大）压缩比差多少？

取决于文件类型，差异从 0% 到 50%。已压缩的文件（JPG / MP4 / MP3 / 已 ZIP 过的 / Office 现代格式 .docx 等）—— 各级别压缩比几乎一样（差 < 2%），因为已经是高熵数据没有冗余可压。文本 / 代码文件——最大压缩比最快快 30-50%（如 Python 代码：最快 70% / 最大 50% 即压缩到原大小 50%）；未压缩图像（BMP / TIFF / RAW）—— 各级别差异中等（10-30%）；数据库 / 日志文件——重复模式多，最大压缩可压到 20%。速度差异：最大压缩通常比最快慢 5-10 倍。实务建议：(1) 文本 / 代码 / 数据 → 最大压缩；(2) 媒体文件 → 选最快（节省时间，反正压不动）；(3) 通用场景 → 标准；(4) 已压缩文件混杂 → 用 7z 的 LZMA2 比 ZIP 的 DEFLATE 强 20-40%。

ZIP 加密用 ZipCrypto 还是 AES？默认是哪个？

绝大多数 ZIP 默认 ZipCrypto（弱加密），不要用。ZipCrypto（1989 年 PKZIP 发明）：(1) 流密码，密钥长度 12 字节；(2) 已被破解——已知明文攻击（Known Plaintext Attack）能在几分钟内破解；(3) 任何古早 ZIP 工具都支持（兼容性好）；(4) 不安全——纯心理威慑。AES-256（2003 年加入 ZIP 标准）：(1) 业界标准对称加密；(2) 暴力破解需要 10^77 次尝试，实际不可破；(3) 部分老工具（如 macOS Archive Utility）不支持；(4) 必须显式选择。默认行为：(1) Windows 资源管理器：不支持加密 ZIP；(2) WinRAR / 7-Zip：默认 ZipCrypto，需要手动选 AES-256；(3) macOS zip -e：默认 ZipCrypto。实务：(1) 真正机密 → AES-256（用 7-Zip 加密 → "高级" → 选 AES-256）；(2) 内部公司分享 → AES-256 仍推荐；(3) 兼容性优先 + 不在意安全 → ZipCrypto 但请注意是裸奔状态。

ZIP 密码多长才安全？

取决于加密算法。ZipCrypto —— 任何长度都不安全（已知明文攻击与密码长度无关）；AES-256 —— 12+ 位含大小写字母、数字、特殊字符，实际不可暴力破解。密码强度计算（AES-256）：(1) 6 位纯数字（10^6 = 100 万）—— 现代 GPU 几秒破；(2) 8 位字母数字（62^8 ≈ 218 万亿）—— 几小时；(3) 12 位含大小写字母 + 数字 + 特殊（92^12 ≈ 4.7×10^23）—— 不可破；(4) 16 位 + 全字符 —— 量子计算机时代仍安全。陷阱：(1) 密码用常见词（password, 123456, qwerty）—— 字典攻击秒破；(2) 密码用生日 / 姓名 —— 社工攻击秒破；(3) 密码与文件名相关 —— 智能字典攻击秒破。实务：(1) 使用密码生成器（Bitwarden / 1Password / KeePass）生成 16 位随机密码；(2) 通过另一个安全渠道（电话、面对面）告知接收方；(3) 不要在邮件 / 微信里发"附件密码 abc123"——和不加密差不多。

ZIP 中文压缩用 GBK 还是 UTF-8？怎么强制 UTF-8？

永远用 UTF-8——但要确保工具支持。为什么 UTF-8 优于 GBK：(1) UTF-8 是国际标准，全球工具都能识别；(2) GBK 只能表示中文 + ASCII，发音乐 / emoji / 日文 / 韩文文件名会乱码；(3) ZIP 标准明确推荐 UTF-8（设 bit 11 标志位）。强制 UTF-8 的方法：(1) 7-Zip（Windows）：设置 → 默认编码 → "UTF-8"；或命令行 7z a -mcu archive.zip files/（强制 Unicode）；(2) WinRAR：设置 → 压缩 → "为非 Unicode 文件名使用 UTF-8 编码"；(3) macOS zip 命令：默认 UTF-8，无需设置；(4) Linux zip：默认 UTF-8。接收方：UTF-8 标志位被正确设置时，所有现代工具都能正确显示。陷阱：(1) Windows 资源管理器自带"发送到 → 压缩"始终用 GBK，不能改 —— 必须装 7-Zip / WinRAR；(2) 部分老工具（WinZip 老版）即使发送方用 UTF-8 也按 GBK 解读 —— 在中国大陆没问题，国外可能乱码。

ZIP 文件夹结构怎么保留？为什么有时候解压后所有文件挤到一起？

取决于打包时是否选择"保留路径"。ZIP 内部记录每个文件的相对路径——docs/readme.txt 还是只 readme.txt。典型打包场景：(1) 打包整个文件夹——通常工具默认保留路径（带文件夹名作为根目录）；(2) 多选文件后压缩——可能只保留文件名（无文件夹），或自动用第一个文件的目录作为根；(3) 命令行 zip -r——-r 表示递归，自动保留路径；(4) 命令行 zip 不带 -r——只压缩当前目录的文件，不进子目录。陷阱：(1) 命令行用 cd /path; zip -r out.zip * 会保留路径；用 zip -j out.zip * 不保留路径（-j 是 junk paths）；(2) 解压时也有"保留路径" vs "不保留路径"——多数工具默认保留；(3) 跨平台路径分隔符——ZIP 标准用 /，Windows 工具会处理，但极少数工具用 \ 会破坏跨平台。实务：(1) 检查 ZIP 内结构——unzip -l file.zip；(2) 解压前看清结构，避免文件夹爆炸（"zipbomb"——10MB ZIP 解压成 100GB）。

ZIP 和 7Z / RAR / TAR 比起来，什么时候该用什么？

各有优势。ZIP：(1) 最通用——所有 OS 原生支持；(2) 压缩比中等（DEFLATE）；(3) 单文件加密（AES-256）支持；(4) 适合：跨平台分享、邮件附件、通用归档。7Z（7-Zip）：(1) 压缩比最强（LZMA2 比 DEFLATE 强 20-40%）；(2) AES-256 默认；(3) 不是 OS 原生——接收方需要装 7-Zip；(4) 适合：文本 / 代码归档、备份、空间优先。RAR：(1) 压缩比强（接近 7z）；(2) 修复块（recovery record）—— 损坏后可部分恢复；(3) 商业格式 —— 解压免费但打包需要 WinRAR 授权；(4) 适合：文件传输不稳定的场景。TAR + GZ / BZ / XZ：(1) Unix 传统 —— Linux / Mac 原生；(2) tar.gz 通用、tar.xz 压缩比强；(3) 不支持加密（要加密用 GPG 或外层 ZIP）；(4) 适合：Linux 系统部署、跨发行版分享、备份脚本。实务：(1) 给 Windows 用户 → ZIP；(2) 给 Linux / Mac 用户 → tar.gz / tar.xz；(3) 内部空间敏感 → 7z；(4) 不稳定网络传输 → RAR（带 recovery record）。

ZIP Bomb 是什么？怎么防范？

ZIP Bomb = 极小压缩文件解压成超大文件，攻击解压器。最著名的"42.zip"——42KB ZIP，解压后 4.5PB（嵌套压缩 16 层）。原理：(1) 创建一个 1GB 的全 0 文件 —— ZIP 压缩到几 KB；(2) 把多个这样的文件嵌套压缩 —— 体积指数膨胀；(3) 解压时用户的硬盘 / 内存爆掉。防御（解压方）：(1) 检查解压后大小—— unzip -l file.zip 看预估解压大小，超过预期警惕；(2) 限制解压目标空间—— 在虚拟机 / 容器中解压；(3) 限制嵌套深度—— 多数现代工具自动检测；(4) 安全解压库—— Python zipfile 默认对解压大小不限制，需要手动检查。陷阱：(1) 杀毒软件多数会拦截已知 ZIP Bomb，但变种可能漏过；(2) Web 服务接收用户上传 ZIP 必须做大小校验 + 沙箱解压；(3) 普通用户不会遇到，但开发者写解压代码时要意识到这个攻击。实务：解压来路不明的 ZIP 时，先 unzip -l 看大小再解压。