建议使用更加安全的ast.literal_eval去替代eval

最新推荐文章于 2022-04-20 10:52:57 发布
最新推荐文章于 2022-04-20 10:52:57 发布
阅读量159 收藏
点赞数
分类专栏: 计算机基础知识 科研工具 Python使用技巧
原文链接:https://blog.csdn.net/sty945/article/details/81178354
版权

前言
如果大家想要在python中将字符串转换成列表,数字,字典等操作,都会想到使用eval(),确实这个函数很好用,但是它却存在一定的安全性

eval的漏洞
如果用户使用如下的代码

open(r’D://filename.txt’, ‘r’).read()

import(‘os’).system(‘dir’)

import(‘os’).system(‘rm -rf /etc/*’)
1
2
3
4
5
eval就会不管三七二十一,显示你电脑目录结构,读取文件,删除文件……如果是格盘等更严重的操作,她也会照做不误!
更详细的情况可以参考这里

如何避免这个漏洞
可以使用ast.literal_eval,这个函数具有同样的eval()的功能,但是会判断需要计算的内容计算后是不是合法的python类型,如果是则进行运算,否则就不进行运算。
stackoverflow中的解释

参考
https://nedbatchelder.com/blog/201206/eval_really_is_dangerous.html
https://blog.csdn.net/Jerry_1126/article/details/68831254
https://stackoverflow.com/questions/15197673/using-pythons-eval-vs-ast-literal-eval
https://blog.csdn.net/whatday/article/details/102747599
http://www.360doc.com/content/21/0101/22/30155531_954742858.shtml
https://www.cnblogs.com/hyhyhy/articles/10225779.html
https://www.shangmayuan.com/a/80fb9dedae6b48b9ae081be9.html
https://blog.csdn.net/m0_37578088/article/details/102469854

edward_zcl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python中使用eval() 和 ast.literal_eval()的区别 分类: ...
weixin_34055787的博客
05-11 503
eval函数在python中做数据类型的转换还是很有用的。它的作用就是把数据还原成它本身或者是能够转化成的数据类型。那么evalast.literal_val()的区别是什么呢?eval在做计算前并不知道需要转化的内容是不是合法的(安全的)python数据类型。只是在调用函数的时候去计算。如果被计算的内容不是合法的python类型就会抛出异常。ast.literal则会判断需要计算的内容计算...
[python] ast --- 抽象语法树 literal_eval替代eval
Moke
02-14 825
Abstract Syntax Trees即抽象语法树。Ast是python源码到字节码的一种中间产物,借助ast模块可以从语法树的角度分析源码结构。此外,我们不仅可以修改和执行语法树,还可以将Source生成的语法树unparse成python源码。因此ast给python源码检查、语法分析、修改代码以及代码调试等留下了足够的发挥空间。 AST简介 Python官方提供的CPython解释器对p...
使用ast.literal_eval(str)代替eval(str)
qq_40890660的博客
04-29 252
a = “input(‘输入:’)” print(ast.literal_eval(a)) >>> ValueError: malformed node print(evel(a)) >>> 输入: 可见,在ast模块内部对解析的字符串的做了校验,防止攻击
python学习笔记——eval()和ast.literal_eval()
phily123的博客
12-11 174
作用: 都是将字符型列表、元组、字典转化成列表、元组、字典 eval函数常用在
python-eval-literal_eval-使用测试
叽里呱啦的一大摊,人生太艰难.
04-20 451
import os from ast import literal_eval test_a = '{"name":1}' print(eval(test_a), type(eval(test_a))) # {'name': 1} <class 'dict'> print(literal_eval(test_a), type(literal_eval(test_a))) # {'name': 1} <class 'dict'> try: test_a = "__im
Python中函数evalast.literal_eval的区别详解
09-21
eval函数在Python中做数据类型的转换还是很有用的。它的作用就是把数据还原成它本身或者是能够转化成的数据类型。...本文将大家介绍关于Python中函数evalast.literal_eval区别的相关资料,需要的朋友可以参考下。
dce.tar.gz_DCE_execution
09-21
2. **使用安全的API:** 使用安全的函数或方法来执行动态代码,如Python的`ast.literal_eval()`代替`eval()`。 3. **限制权限:** 运行动态代码的进程应具有尽可能少的权限。 4. **日志和监控:** 记录所有动态执行...
python函数eval使用与利弊
12-20
为了防止这种情况,应当避免在不安全的环境中使用`eval()`,或者使用`ast.literal_eval()`,这是一个更安全的替代方案,它只能解析基本的数据类型,如列表、字典、数字和字符串,而不会执行任何可能的代码。...
Python使用eval函数执行动态标表达式过程详解
12-16
为了安全地处理仅包含字面量(如数字、字符串、列表等)的表达式,可以使用`ast.literal_eval()`函数,它不会执行可能危险的操作。 ### `exec()`与`eval()`的区别 `eval()`主要用于计算表达式并返回结果,而`exec...
Python中eval带来的潜在风险代码分析
09-21
因此,最佳实践是尽可能避免使用`eval`,转而使用安全的工具,如`ast.literal_eval`,或者在严格控制的环境中使用`exec`。对于那些必须动态执行复杂Python代码的情况,应采取充分的防范措施,包括但不限于代码审计...
Python eval函数原理及用法解析
12-16
Python 的 `eval` 函数是一个强大且...在处理不受信任的数据时,优先考虑使用 `ast.literal_eval` 来避免安全问题。理解 `eval` 的工作原理和限制是使用 Python 的关键部分,尤其是在编写涉及用户输入的应用程序时。
calculon-master.zip_单片机开发_Python_
08-11
在Python中,可以使用内置的`eval()`函数或者`ast.literal_eval()`来解析并执行简单的数学表达式,也可以利用`math`库来处理更复杂的数学操作。对于一个终端计算器,可能还包括错误处理机制,以便在用户输入无效的...
Python eval的常见错误封装及利用原理详解
09-19
- **使用`ast.literal_eval`**:对于仅需解析基本数据结构(如列表、字典、数字和字符串)的情况,应使用`ast.literal_eval`,它不会执行任何代码。 - **代码审查**:对涉及`eval`的代码进行严格审查,确保没有引入...
PYTHON EVAL的用法及注意事项解析
01-20
- 如果只是需要解析简单的数据结构,可以使用`ast.literal_eval()`,它只支持字面量表达式,不会执行任何代码,更安全。 - 对于动态执行代码的需求,可以考虑使用`exec()`函数,它不返回结果,但能执行多行Python...
python 为什么说eval要慎用
09-19
对于需要动态执行代码的情况,可以考虑使用沙盒环境、AST(抽象语法树)解析或其他安全的替代方案,如`ast.literal_eval`,它只能解析并返回基本数据类型,不允许执行任何代码。同时,对用户输入进行严格的过滤和...
Python中函数 evalast.literal_eval 的区别详解
热门推荐
南淮北安的博客
10-05 2万+
文章目录一、eval 函数二、ast.literal_eval 函数 一、eval 函数 Python中,如果要将字符串型的 list,tuple,dict 转变成原有的类型呢 ? 这个时候你自然会想到eval eval函数在 Python 中做数据类型的转换还是很有用的。 它的作用就是把数据还原成它本身或者是能够转化成的数据类型 string 转化为 list string 转化为 tupl...
evalast.literal_val()
m0_37632218的博客
11-19 379
eval函数的作用是把数据还原成它本身或者是能够转化成的数据类型。 eval在做计算前并不知道需要转化的内容是不是合法的(安全的)python数据类型。 使用eval可以实现从元祖,列表,字典型的字符串到元祖,列表,字典的转换,此外,eval还可以对字符串型的输入直接计算。 ast.literal则会判断需要计算的内容计算后是不是合法的python类型,如果是则进行运算,否则就不进行运算...
Python中函数evalast.literal_eval的区别
桑凯旋的博客
11-15 576
文章目录eval 函数ast.literal_eval 函数 eval 函数 Python中,如果要将字符串型的 list,tuple,dict 转变成原有的类型呢 ? 这个时候你自然会想到 evaleval 函数在 Python 中做数据类型的转换还是很有用的。它的作用就是把数据还原成它本身或者是能够转化成的数据类型。 string 转化为 list >>> str_list = "[1, 2, 3, 4]" >>> chg_list = eval(str_lis
evalast.literal_eval方法
阿牧路泽
03-08 1万+
eval() 和 ast.literal_eval()方法
所以可以用ast.literal_eval()替代eval
最新发布
11-11
相比于 eval() 函数,ast.literal_eval() 函数更加安全,因为它只会解析基本的 Python 数据类型,不会执行任意的代码。这意味着,如果你需要将一个字符串转换为 Python 对象,而又不想执行其中的代码,那么 ast....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值