【Python】python中eval()函数深入学习及安全使用指南

最新推荐文章于 2024-07-21 23:25:11 发布
最新推荐文章于 2024-07-21 23:25:11 发布
阅读量5k 收藏 29
点赞数 16
分类专栏: # Python 文章标签: python 学习 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/g310773517/article/details/140017224
版权

eval() 是Python中的一个强大函数,用于动态执行字符串形式的表达式。其语法为 eval(expression, globals=None, locals=None),可以自定义全局和局部命名空间。尽管功能强大,但eval() 因其能够执行任意代码存在安全风险,不应直接用于处理用户输入。如需使用,建议控制表达式内容并限制可用的命名空间。对于简单的字符串解析,推荐使用更安全的 ast.literal_eval 函数。总之,eval() 适用于特定情景,使用时需尤为谨慎,确保在受控环境中操作,以避免潜在的安全隐患。通过理解其工作原理和最佳实践,可以有效提升代码的安全性和功能性。
在这里插入图片描述

🧑 博主简介:现任阿里巴巴嵌入式技术专家,15年工作经验,深耕嵌入式+人工智能领域,精通嵌入式领域开发、技术管理、简历招聘面试。CSDN优质创作者,提供产品测评、学习辅导、简历面试辅导、毕设辅导、项目开发、C/C++/Java/Python/Linux/AI等方面的服务,如有需要请站内私信或者联系任意文章底部的的VX名片(ID:gylzbk

💬 博主粉丝群介绍:① 群内初中生、高中生、本科生、研究生、博士生遍布,可互相学习,交流困惑。② 热榜top10的常客也在群里,也有数不清的万粉大佬,可以交流写作技巧,上榜经验,涨粉秘籍。③ 群内也有职场精英,大厂大佬,可交流技术、面试、找工作的经验。④ 进群免费赠送写作秘籍一份,助你由写作小白晋升为创作大佬。⑤ 进群赠送CSDN评论防封脚本,送真活跃粉丝,助你提升文章热度。有兴趣的加文末联系方式,备注自己的CSDN昵称,拉你进群,互相学习共同进步。

在这里插入图片描述

@TOC

概述

eval() 是Python内置的一个非常强大且灵活的函数,用于动态地执行表达式(表达式是字符串类型的Python代码)。虽然功能强大,但因其具有潜在的安全风险,所以需要谨慎使用。本文将深入探讨 eval() 的使用及注意事项。

1. 基本用法

eval() 函数的基本语法如下:

eval(expression, globals=None, locals=None)
  • expression: 要计算的表达式,必须是一个字符串。
  • globals: 可选,指定全局命名空间(通常为字典)。
  • locals: 可选,指定局部命名空间(通常为字典)。

示例

# 简单算术运算
result = eval('3 + 5')
print(result)  # 输出 8

# 使用变量
x = 10
result = eval('x * 2')
print(result)  # 输出 20

# 调用函数
def greet(name):
    return f"Hello, {name}!"

result = eval('greet("Alice")')
print(result)  # 输出 'Hello, Alice!'

2. 使用全局和局部命名空间

可以自定义全局和局部命名空间来控制 eval() 的执行环境。

示例

# 自定义全局命名空间
safe_globals = {'__builtins__': None}
safe_locals = {'x': 2, 'y': 3}

result = eval('x + y', safe_globals, safe_locals)
print(result)  # 输出 5

# 添加函数到命名空间
safe_locals['sqrt'] = lambda x: x ** 0.5
result = eval('sqrt(16)', safe_globals, safe_locals)
print(result)  # 输出 4.0

3. 安全注意事项

由于 eval() 可以执行任意代码,它可能带来安全风险。如果输入不是完全受信任的数据,可能会导致代码注入攻击。以下是一些最佳实践:

不要直接使用 eval() 处理用户输入

# 不推荐的做法
user_input = "import os; os.system('rm -rf /')"
eval(user_input)  # 这可能会删除整个文件系统!

仅允许受控的表达式

# 控制表达式内容
allowed_globals = {'__builtins__': None}
allowed_locals = {'x': 10, 'y': 20}

# 仅允许安全的表达式
user_input = "x + y"
result = eval(user_input, allowed_globals, allowed_locals)
print(result)  # 输出 30

使用 ast.literal_eval

对于简单的数据类型解析,使用 ast.literal_eval 更安全:

import ast

user_input = "[1, 2, 3]"
result = ast.literal_eval(user_input)
print(result)  # 输出 [1, 2, 3]

ast.literal_eval 仅允许解析基本的Python数据结构(如字符串、数字、元组、列表、字典、布尔值和 None),并且不会执行任意代码。

总结

eval() 是一个灵活且功能强大的Python内置函数,但因其潜在的安全风险,使用时需极为谨慎。确保在必要时仅执行受控的表达式,并尽可能使用更安全的替代方案如 ast.literal_eval。通过合理使用命名空间,可以有效控制 eval() 的执行环境,提升代码安全性。

希望这篇文章能帮助你更好地理解和安全地使用 eval() 函数。如果有任何问题或需要进一步的帮助,欢迎留言讨论!

I'mAlex
关注
  • 16
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
使用Python的Turtle库绘制动态风车
爱写代码的小朋友
07-20 316
python绘制风车
华为od机试真题 — 代表团坐车(Python)
学习,你不是一个人在战斗 ~ 961302305(QQ,微信)
07-17 602
【华为od机试真题 】代表团坐车(Python) 某组织举行会议,来了多个代表团同时到达,接待处只有一辆汽车可以同时接待多个代表团,为了提高车辆利用率,请帮接待员计算可以坐满车的接待方案输出方案数量。
Java-Lambda
lizhiwei21的博客
07-21 155
lambda表达式可以理解为对匿名内部类的一种简化 , 但是本质是有区别的面向对象思想 :强调的是用对象去完成某些功能函数式编程思想 :强调的是结果 , 而不是怎么去做。
Python如何将字符串连接在一起并使用`join()`方法】
qq_36253366的博客
07-19 401
方法是字符串对象的方法,而不是列表或元组等序列类型的方法。因此,你需要先指定一个用作分隔符的字符串,然后调用这个字符串的。方法将字符串连接在一起,你需要首先确保这些字符串被存储在一个序列类型(如列表或元组),然后调用这个序列的。方法是一个字符串方法,它用于将序列(如列表、元组等)的元素以指定的字符连接生成一个新的字符串。列表的所有字符串元素使用空格作为分隔符连接成一个新的字符串。方法,并将你想要作为分隔符的字符串作为参数传递给。方法,并将包含要连接字符串的序列作为参数传递。
使用9种方法隐藏和显示元素
最新发布
lulei5153的博客
07-21 47
【代码】使用9种方法隐藏和显示元素。
批量下载网易云音乐歌单的Python脚本
qq_43580271的博客
07-17 1243
同时,这也展示了如何利用Python在日常生活解决实际问题的能力,希望这个小技巧对你有所帮助!
Python 的内存管理有哪些优缺点】
qq_36253366的博客
07-19 394
Python的内存管理是一个复杂而高效的系统,它通过自动化和抽象化的方式极大地简化了程序员的内存管理负担,但同时也存在一些潜在的缺点。
N7翻译实战
tjl521314_21的博客
07-17 316
本周完成项目实战用于训练一个简单的序列到序列(seq2seq)模型以实现英语到法语的翻译。数据预处理、模型构建、训练以及可视化损失的过程。本周学习了构建和训练一个简单的seq2seq模型用于英语到法语的翻译,对前面的知识做了一个综合的运用。
python训练模型报错:BrokenPipeError: [Errno 32] Broken pipe
Dxy1239310216的博客
07-18 414
如果问题持续存在,并且你的项目不是必须在 Windows 上运行,考虑在 Unix/Linux 系统上运行你的代码。确保在数据加载器使用的任何自定义函数或类都是可序列化的,因为多进程需要能够在不同进程间传递它们。进行多进程数据加载时尤其常见,尤其是在 Windows 系统上,因为 Windows 对多进程的支持与 Unix/Linux 系统有所不同。有时候,错误可能是由其他部分的代码引起的,而不是直接由数据加载器引起。如果问题依然存在,你可能需要更详细地检查你的代码或寻求更专业的帮助。
文件在Linux下为binary格式在Windows下为utf-8格式
qq_38220334的博客
07-17 353
想着是不是之前遇到的问题,有可能是文件含有特殊字符,然后用vim命令来编辑这个文件,发现,还真是含有一个特殊字符,然后将它删除掉,文件就变成utf-8格式的文件了。在Windows下和Mac下都是没有问题的,在华为云服务器上也是没问题的(操作系统不是centos),但是在自己搭建的Linux服务器(centos)上是有问题的。用shell或者Python脚本去将这个文件转为utf-8格式的,但是都失败了。
Django cursor()增删改查和shell环境执行脚本
人生苦短,何妨一试
07-21 217
在Django,cursor()方法是DatabaseWrapper对象(由django.db.connectio提供)的一个方法,用于创建一个游标对象。这个游标对象可以用来执行SQL命令,从而实现对数据库的增删改查操作。使用cursor.execute()方法执行SQL查询语句,可以获取数据库的数据。查询your_table表的所有记录。执行查询后,你可以使用cursor.fetchall()或cursor.fetchone()等方法来获取查询结果。
ios CCUIAlertActivityView.m
编程语言技巧经验分享
07-17 663
// // CCUIAlertActivityView.m // CCFC // // #import "CCUIAlertActivityView.h" #import "CCNSNumber.h" #import "CCU
python获取剪切板内容
cuisidong1997的博客
07-21 165
python获取剪切板内容在Python,可以使用第三方库clipboard获取剪切板的内容。以下是两种不同的实现方法:方法一:使用clipboard库。
Python编程防止计算机休眠,保持唤醒状态
anyes的博客
07-21 111
该库提供了一个名为 moveTo() 的函数,可以移动鼠标指针,防止计算机进入睡眠状态或锁定屏幕。为了使计算机保持唤醒状态,不自动进入睡眠模式,可以使用 mouse 库,该库提供了一个名为 move() 的函数,可以移动鼠标指针,通过不断将鼠标指针移动到屏幕上的不同位置,防止计算机进入睡眠状态或锁定屏幕。使用 mouse 的 move() 函数,每隔 5 秒,将鼠标指针移动到屏幕上的指定位置。如果临时需要保持计算机的唤醒状态,可以使用 python 编写程序,保持计算机的唤醒状态。
[ptrade交易实战] 第十五篇 融资融券交易类函数
vv_LCJL319的博客
07-17 433
ptrade开通详则》
python解析pdf文件
irisMoon06的博客
07-21 279
先安装PyPDF2,据说这是目前最好的解析pdf的包。
简单的数据管理,持久化存储练习
dudnf的博客
07-18 243
进行需求分析,编写简单的代码实现功能(本练习非常基础,有待完善)输入1 可以持续添加数字,输入2可以查看所有数字。输入数字0,退出系统。
【附源码】Python :人脸实时检测与抓捕
脱发快乐中
07-17 237
使用Python和OpenCV检测人脸是一个常见的计算机视觉任务。本文代码将打开你的摄像头,并在窗口显示实时视频流,同时在检测到的人脸上绘制矩形框。按’q’键可以退出程序。
配置DeepStream Python Apps工程
老程的技术笔记
07-18 329
Nvidia发布了一种可以使用Python开发Deepstream应用的套件,截止至当前支持的Deepstream版本是7.0. 目前已经发布至Github,可以通过如下命令拉取该工具。接下来的内容,讨论的都是支持Deepstream 7.0版本的deepstream_python_apps,当前版本是。,如果使用的是docker镜像,那么可以通过挂载的方式,把该项目挂到docker镜像。如果要拉取一些较早的版本,比如支持Deepstream 6.4版本的代码,那么执行。以及其所需的依赖文件。
Pythoneval函数的替代
02-16
Pythoneval函数用于执行字符串的表达式,并返回表达式的结果。然而,由于eval函数的执行过程存在一定的安全风险,因此在某些情况下,我们可能需要寻找eval函数的替代方法。 一个常见的替代方法是使用ast模块的ast.literal_eval函数。ast.literal_eval函数可以安全地评估字符串的表达式,并返回表达式的结果。与eval函数不同,ast.literal_eval只能评估包含字面值(如字符串、数字、列表、字典和元组)的表达式,而不能评估包含变量或函数调用的表达式,这使得它更加安全。 另一个替代方法是使用具体的函数来替代eval函数。例如,如果我们只需要计算一个数学表达式,可以使用math库函数实现。如果我们需要执行特定的代码块,可以考虑使用exec函数来代替eval函数。 总之,在使用eval函数时,我们应该谨慎对待,并确保只评估可信任的表达式。如果存在安全风险或者需要更加精确的控制,可以考虑使用ast.literal_eval函数或其他具体的替代方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

I'mAlex

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值