【Python】 ast.literal_eval 与 eval

于 2024-09-18 17:17:41 发布
阅读量434 收藏 7
点赞数 8
分类专栏: python python后端 文章标签: python eval
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/longforone/article/details/142338705
版权

一、背景

我在在编写管理后台的过程中,遇到一个小问题,是关于用户名的存储和解码。用户名以base64编码的形式存储在 MySQL 数据库中,并且还保留了b''这样的形式,具体为什么要这样存我也不知道,可能是因为有些特殊字符无法直接存储。当从数据库中查询出数据后,为了正确使用这些用户名,需要进行解码操作。然而,base64.b64decode()方法接收的是bytes类型的数据。

也就是说,我们面临着将一个形如"b'huisqhfqe21aGVsbG8='"的字符串转换成b'huisqhfqe21aGVsbG8='这样的bytes类型数据的任务。在思考解决方案的过程中,eval方法首先浮现在脑海中,但考虑到安全性问题,经过查阅资料后,最终决定选择使用ast.literal_eval。虽然这里其实没什么风险,但是我就是想用 QAQ

二、base64 简介

Base64 是一种用于将二进制数据编码成 ASCII 字符的编码方式。它通常用于在网络传输或存储数据时,将二进制数据转换为可打印的字符,以便于传输和存储。在 Python 中,可以使用base64模块来进行 Base64 编码和解码操作。

import base64
def base64_to_string(base64_data):
    decoded_data = base64.b64decode(base64_data)
    string_data = decoded_data.decode('utf-8')
    return string_data


def string_to_base64(string_data):
    encoded_data = str.encode(string_data, 'utf-8')
    base64_data = base64.b64encode(encoded_data)
    return base64_data

三、eval

  1. 功能与用法
    • eval函数是 Python 中一个强大的工具,它可以将一个字符串表达式作为 Python 代码进行执行。例如:
      expression = "2 + 3"
result = eval(expression)
print(result)  # 5
    • 它可以处理各种复杂的表达式,包括数学运算、函数调用等。例如:
      eval("pow(2, 3)")  # 8
  2. 安全风险
    • 然而,eval的强大功能也伴随着巨大的安全风险。如果输入的字符串来自不可信的来源,比如用户输入、网络传输的数据等,那么这个字符串可能会被恶意构造来执行恶意代码。
    • 例如,假设一个恶意用户输入了以下字符串:
      malicious_str = "os.system('rm -rf /')"
eval(malicious_str)
      执行这段代码将导致严重的系统破坏,可能会删除整个文件系统。
    • 此外,eval还可能导致代码注入攻击,使得攻击者能够执行任意的 Python 代码,获取敏感信息或者控制系统。
  3. 性能开销
    • eval函数在执行时需要解析和执行字符串中的代码,这会带来一定的性能开销。特别是在处理大量数据或者频繁调用的情况下,这种性能开销可能会变得比较明显。

四、ast.literal_eval

  1. 功能与用法
    • ast.literal_eval是一个相对安全的评估函数,它仅接受字符串形式的 Python 字面量表达式,并将其转换为相应的 Python 对象。
    • 在上述场景中,可以使用ast.literal_eval来将特定的字符串转换为bytes类型的对象。例如:
      import ast
literal_str = "b'huisqhfqe21aGVsbG8='"
result = ast.literal_eval(literal_str)
print(result)
  2. 安全性保障
    • ast.literal_eval具有严格的语法要求,只接受有限的字面量表达式,如数字、字符串、列表、元组、字典等。这意味着它不会执行任意的代码,从而大大降低了安全风险。
    • 如果输入的字符串不符合 Python 字面量的语法规则,它将抛出一个ValueError异常,而不是执行潜在的恶意代码。
  3. 性能特点
    • 虽然ast.literal_eval在安全性方面有很大的优势,但在性能上可能略逊于eval。不过,这种性能差异通常在大多数应用场景下并不显著,而且为了保证程序的安全性,这点性能损失是可以接受的。

五、实际应用场景对比

  1. 在数据处理管道中,如果需要对从外部数据源获取的字符串进行转换,使用ast.literal_eval可以确保数据的安全性。例如,从一个不可信的 API 接口获取的数据,需要转换为 Python 对象进行进一步处理时,ast.literal_eval是更好的选择。
  2. 而在一些内部开发的工具或者脚本中,如果输入的字符串是由开发者自己控制的,并且已经经过了严格的验证,那么使用eval可能会更加方便快捷。但即使在这种情况下,也应该谨慎使用,并充分考虑潜在的安全风险。
  3. 在涉及到用户交互的应用程序中,绝对不能使用eval来处理用户输入的字符串。因为用户可能会输入恶意代码,从而导致严重的安全问题。而ast.literal_eval则可以在一定程度上保证用户输入的安全性,只要用户输入的字符串符合字面量语法规则。

六、使用建议

  1. 优先选择 ast.literal_eval
    • 在实际编程中,如果需要将一个已知安全的、符合字面量语法规则的字符串转换为 Python 对象,应优先使用ast.literal_evalast.literal_eval是一个安全可靠的选择。它可以有效地避免恶意代码的注入,保护程序的安全性。
  2. 谨慎使用 eval
    • 除非完全信任输入的字符串并且明确知道执行的代码是安全的,否则应避免使用eval。在大多数情况下,都有更安全的替代方法来实现所需的功能。
    • 如果确实需要使用eval,应该对输入的字符串进行严格的验证和过滤,以确保不会执行恶意代码。例如,可以使用正则表达式来检查字符串是否只包含合法的表达式。
星眺北海
关注
专栏目录
Python中函数 evalast.literal_eval 的区别详解
南淮北安的博客
10-05 2万+
文章目录一、eval 函数二、ast.literal_eval 函数 一、eval 函数 Python中,如果要将字符串型的 list,tuple,dict 转变成原有的类型呢 ? 这个时候你自然会想到eval eval函数在 Python 中做数据类型的转换还是很有用的。 它的作用就是把数据还原成它本身或者是能够转化成的数据类型 string 转化为 list string 转化为 tupl...
Python 函数 evalast.literal_eval 的区别详解
Shallow的博客
04-02 1447
一、eval函数 eval()官方文档里面给出来的功能解释是:将字符串string对象转化为有效的表达式参与求值运算返回计算结果 实例: >>> s='8*8' >>> eval(s) 64 >>> eval('2+5*4') 22 >>> x=1 >>> y=4 >>> eval('x+y') 5 >>> eval('98.9') 98.9 >>> eval('9
python 笔记ast.literal_eval
qq_40206371的博客
04-25 1093
Python 标准库ast模块中的一个函数,用于安全地评估表示 Python 字面量或容器(如列表、字典、元组、集合)的字符串。
python库——ast.literal_eval
跬步
12-10 2538
参考文献: https://docs.python.org/zh-cn/3/library/ast.html https://kite.com/python/docs/ast https://kite.com/python/docs/ast.literal_eval literal_eval Safely evaluate an expression node or a Unicode o...
Pythonevalast.literal_eval() 的选择
e5pool的博客
05-27 269
很多语言中都有eval()函数,它能将字符串解析成对应编程语言的对象,这意味着它可以执行任意的代码,安全性上来说,具有很大的安全隐患。
python3 eval安全替代函数ast.literal_eval的区别
weixin_51529314的博客
12-23 805
python3 eval安全替代函数ast.literal_eval的区别
python函数evalast.literal_eval的区别
python学习者的博客
12-01 254
evalast.literal_eval都可以将字符串还原成它能够转化成的数据类型,例如 >>> from ast import literal_eval >>> >>> data1 = "['ops-coffee','cn']" >>> data2 = "{'title':'python','url':'https://www.python.org'}" >>> >>> print(type(
python ast.literal_eval函数反序列化报错分析
柷敔的博客
04-17 5086
前言 最近接了个爬虫的活,顺便接触一下python的scrapy库,爬取网站、数据持久化确实很方便。写好文件以后只需要scrapy crawl <project name> -L ERROR -O result.jl就可以将数据按行保存,处理数据时也只需要简单的for line in file就行。 按行处理数据时,使用ast.literal_eval(line)就可以将上述数据转化为字典。不过在实际测试的时候出现了很多奇怪的问题,这里做以总结。 错误汇总 ValueError(msg + f’
Python教程:ast.literal_eval()的示例用法
我的Python教程
12-02 3047
这是因为 “print(‘Hello, world!但请注意,exec() 不像 ast.literal_eval() 那样安全,因为它可以执行任何 Python 代码。ast.literal_eval() 是一个 Python 的内置函数,它用于解析并执行一个包含 Python 文字字面值的抽象语法树(AST)。这个函数非常有用,因为它可以用来处理那些不包含任何可执行代码的字符串,但需要以一种安全的方式进行。请注意,ast.literal_eval() 不能解析并执行包含 Python 代码的字符串。
Python中函数evalast.literal_eval的区别详解
09-21
### Python中函数evalast.literal_eval的区别详解 #### 前言 在Python编程中,经常需要处理字符串与各种数据类型(如列表、元组、字典)之间的转换。为了实现这种转换,Python提供了`eval()`函数。然而,`eval()...
Tcl lnit error: Can’t find a usable init.tcl in the following directories 问题解决
梦想闹钟
09-15 480
实际研究后发现,其实py2exe已经把打包需要的lib放在dist文件夹下了,但是打包后的程序运行后却没有去lib下找,而是去找系统自带的环境变量里找,所以找不到。这个问题出现在我用py2exe打包了一个包含tkinter的图形化界面,在当前电脑上运行无问题,在移动到新电脑上后提示报错、getcwd用于获取当前工作目录绝对路径,在设置环境的变量的时候它用的是绝对路径-所以也导致了在当前电脑上能用而移动后不能用。解决方法是在你的程序里重新设置下环境变量,而且是用相对路径的形式。
[Python数据可视化]Plotly Express: 地图数据可视化的魅力
最新发布
William数据分析的博客
09-17 574
在数据分析和可视化的世界中,地图数据可视化是一个强大而直观的工具,它可以帮助我们更好地理解和解释地理数据。Python 的 Plotly Express 库提供了一个简单而强大的方式来创建各种地图。本文将通过一个简单的示例,展示如何使用 Plotly Express 来创建一个交互式的地图,并探讨其在地图数据可视化方面的应用。
Python世界:力扣29题两数相除算法实践
来知晓的博客
09-13 455
除法运算本质是减法,从理解原理到真正实现还是有距离,建议初步理解后,不参考任何代码,完全自己复现一遍,体会更深。注意提示:目的就是提醒越界问题:-2^31/-1=2&31,超过了整数表达范围。本问题来自于力扣29题,在做完大数相乘后,顺带也看下两数相除。将两数相除,要求不使用乘法、除法和 mod 运算符。给定两个整数,被除数。
JUC从实战到源码:中断机制与API实现
qq_43843951的博客
09-12 1172
在Java中,线程中断是一种机制,用于通知线程应该停止当前正在执行的任务。中断通常用于协同线程之间的合作,以便让线程在适当的时候终止其工作,尤其是在长时间运行的任务或阻塞操作中。通过学了多线程以及synchronized的相关知识,接下来就到了学习线程中断知识。
opencv学习:calcHist 函数绘制图像直方图及代码实现
mohanyelong的博客
09-13 1501
opencv学习:calcHist 函数绘制图像直方图及代码实现
面试真题 | web自动化关闭浏览器,quit()和close()的区别
NHB234567的博客
09-13 409
关闭所有的浏览器窗口,销毁driver操作,则需要使用的是quit方法;当打开了多个窗口,只想要关闭非最后一个窗口的时候,使用的是close方法。这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!close():只关闭当前的浏览器标签页,如果当前浏览器标签页剩下最后一个,则所有标签页面退出。是否编写过对应浏览器退出的测试用例。quit():所有的浏览器窗口退出。关闭当前的标签页,其他窗口不退出。退出当前所有的窗口;
Python——俄罗斯方块
2302_81225694的博客
09-14 1589
这段代码使用了Pygame库来实现游戏的图形界面,通过键盘控制方块的移动和旋转。游戏循环不断更新方块的位置和网格状态,并绘制在屏幕上。在方块达到底部或无法继续移动时,判断是否有满行,并清除满行的方块。游戏会根据方块的状态和移动情况不断更新,直到无法继续下落为止,游戏结束。俄罗斯方块游戏是一款经典的益智游戏,通常使用编程语言Python来实现。请注意,这只是一个简单的示例,可能还有一些功能和优化方面的改进。您可以根据自己的需求进行修改和扩展。
文档内容识别系统源码分享
xuehaishijue的博客
09-17 1422
数据集信息展示在当今信息爆炸的时代,文档内容识别系统的有效性和准确性愈发重要。为了提升YOLOv8在文档内容识别任务中的表现,我们采用了名为“FULL 2”的数据集进行训练和评估。该数据集专为文档图像的多样性和复杂性而设计,涵盖了多种类别的文本元素,使其成为优化深度学习模型的理想选择。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星眺北海

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值