Python exec() 函数初探

你好🖖，我是简讯！一枚野生程序员。热爱编程，但目前的工作与编程毫无关系。

正在尝试各种副业，目前有做：

• 红包封面商城
• 中视频计划

想要零成本一起参与红包封面商城的可以看这篇文章：副业实践｜如何利用红包封面打造副业？

编辑器的话 Neovim 多一点。如果你也喜欢使用 Nvim，我们可以一起交流。

我的 Nvim 配置：自用 neovim 配置。

个人公众号经常会分享一些编程相关的文章，还有一些我已经操作过可以实际上手的副业项目。

欢迎关注：爱生活爱扣钉。

函数 exec() 是 Python 中的一个内置函数，可以动态执行一段 Python 代码。它接收一个参数，即包含要执行的 Python 代码的字符串。相比于 eval，exec 可以执行更复杂的 Python 代码。代码可以是任何有效的 Python 代码，包括赋值、控制结构和函数定义。

下面是 exec() 函数的一般语法：

exec(object[, globals[, locals]])

object 参数是一个包含要执行的 Python 代码的字符串。可选的 globals 和 locals 参数允许你提供代表全局和局部命名空间的字典，exec() 将在这些命名空间中运行目标代码。

exec() 的基本用法

让我们从使用 exec() 函数执行一条简单 Python 语句的基本示例开始：

exec('print("Hello, world!")')

在本例中，exec() 函数将包含 Python 语句 print("Hello, world!") 的字符串作为参数。语句执行后，会在控制台中打印出字符串 “Hello, world!”。

您还可以使用 exec() 执行更复杂的 Python 代码，例如多语句或函数定义：

code = '''
x = 42
print("The answer is:", x)
'''

exec(code)

def square(x):
    return x ** 2

exec('result = square(5)')
print(result) 

#Output: The answer is: 42

在第一个示例中，我们定义了一个变量 x 并打印其值。在第二个示例中，我们定义了一个函数 square()，然后以 5 为参数调用该函数。

需要注意的是，result 变量是在函数 exec() 的本地命名空间中创建的，我们可以在字符串之外访问它。

使用 exec() 时涉及到命名空间

如前所述，函数 exec() 的 globals 和 locals 参数允许您定义执行代码的全局和局部命名空间。

这在很多情况下都很有用，比如当你需要在特定上下文中执行代码时，或者当你想限制执行代码对某些变量的访问时。

例如，您有一个字典，希望将其用作某些执行代码的全局命名空间：

variables = {'a': 1, 'b': 2, 'c': 3}
code = '''
print("a + b + c =", a + b + c)
'''

exec(code, variables) 

#Output: a + b + c = 6

在本例中，我们定义了一个变量字典 variables 和一串 Python 代码 code。然后，我们将这两个参数传递给函数 exec()，并将 variables 作为 globals 参数。

代码执行时，会使用 variables 字典中的 a、b 和 c 值。

还可以使用 locals 参数为执行的代码定义本地命名空间。例如：

code = '''
x = 5
y = 10
print("x + y =", x + y)
'''

exec(code, {}, {'x': 1, 'y': 2}) 

#Output: x + y = 15

在这个示例中，我们定义了一串 Python 代码 code 并将它与一个空的 globals 字典和一个包含变量 x 和 y 的 locals 字典一起传递给函数 exec()。代码执行时，将使用 locals 字典中的 x 和 y 值，而不是全局命名空间。

使用 exec() 需要考虑安全因素

虽然 exec() 函数在动态执行 Python 代码时很强大，但如果不小心使用，它也会带来安全风险。由于 exec() 可以执行任意代码，如果攻击者能够在字符串参数中注入恶意代码，就可以利用它。

要降低这种风险，必须验证和净化传递给 exec() 的任何输入，尤其是来自用户输入或外部 API 等不可信任来源的输入。这里有一些有助于确保 exec() 代码的安全提示：

• 在将用户输入传递给 exec() 之前，始终对其进行验证。例如，您可以使用正则表达式或其他验证技术来确保输入只包含安全字符，而不包含任何恶意代码。

• 避免使用 exec() 执行来自不可信任来源的代码。如果必须执行外部代码，请考虑使用沙箱环境或 Lua 等安全语言。

• 使用一组受限的内置函数和模块来限制执行代码的能力。例如，可以使用 ast 模块中的 restricted_eval() 函数来限制所执行代码的允许语法和语义。

• 使用单独的进程或容器运行 exec() 代码，以限制任何恶意代码的影响。例如，可以使用 subprocess 模块，在具有受限权限的单独进程中运行代码。

在本文中，我们介绍了 Python 中 exec() 函数的基本用法和语法，简单涉及到一些高级主题，例如命名空间和安全注意事项。对于动态执行 Python 代码来说，exec() 是一个强大的工具，但要谨慎和安全地使用它。

一定要验证并且处理传递给 exec() 的任何输入，考虑使用沙箱环境或受限的内置函数集来限制执行代码的能力。