Acepto que se carguen archivos en mi sitio. Entonces, ¿es una práctica segura codificar URIComponent el nombre del archivo? ¿O debería usar escape ()? ¿O es necesario en absoluto?
Nunca debe usar escape para nada (a menos que esté obligado a hacerlo porque está enviando información a algo que usará unescape [que no debería]) .
Si necesita usar encodeURIComponent depende completamente de si va a usar el nombre de archivo directamente como un componente URI¹. Si es así, sí, deberías usarlo. Si no lo eres, no, probablemente no deberías.
¹ por ejemplo, como un parámetro de cadena de consulta cuando está creando la cadena de consulta manualmente en lugar de a través de URLSearchParams (que generalmente es una mejor práctica)
encodeURIComponent toma una cadena y la escapa para que sea seguro insertarla en un URI, que generalmente se usa para consultar datos de cadena.
Si está insertando una cadena en un URI, puede usarla, pero probablemente debería usar URLSearchParams para construir la cadena de consulta completa.
Si no está insertando una cadena en un URI, entonces probablemente no debería usarla.
escape está en desuso y no debe usarse. No funciona propiedad con Unicode.
Las consideraciones para aceptar archivos suelen ser más similares a "¿Esto sobrescribirá accidentalmente un archivo existente?" y "¿Mi sistema de archivos permite los caracteres en este nombre de archivo?".
Algunas personas prefieren generar un nombre de archivo completamente nuevo (por ejemplo, con una biblioteca guid) para garantizar que sea seguro. Puede almacenar el nombre original en una base de datos (en cuyo punto su escape debe ser manejado por consultas parametrizadas).