python 为什么说eval要慎用

最新推荐文章于 2022-06-02 00:00:00 发布
最新推荐文章于 2022-06-02 00:00:00 发布
阅读量853 收藏 1
点赞数
文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pyjishu/article/details/105386402
版权

这篇文章主要介绍了python 为什么说eval要慎用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。

In [1]: eval("2+3")
Out[1]: 5
 
In [2]: eval('[x for x in range(9)]')
Out[2]: [0, 1, 2, 3, 4, 5, 6, 7, 8]

当内存中的内置模块含有os的话,eval同样可以做到命令执行:

In [3]: import os
 
In [4]: eval("os.system('whoami')")
hy-201707271917\administrator
Out[4]: 0

当然,eval只能执行Python的表达式类型的代码,不能直接用它进行import操作,但exec可以。如果非要使用eval进行import,则使用__import__:

In [8]: eval("__import__('os').system('whoami')")
hy-201707271917\administrator
Out[8]: 0

在实际的代码中,往往有使用客户端数据带入eval中执行的需求。比如动态模块的引入,举个栗子,一个在线爬虫平台上爬虫可能有多个并且位于不同的模块中,服务器端但往往只需要调用用户在客户端选择的爬虫类型,并通过后端的exec或者eval进行动态调用,后端编码实现非常方便。但如果对用户的请求处理不恰当,就会造成严重的安全漏洞。

安全”使用eval

现在提倡最多的就是使用eval的后两个参数来设置函数的白名单:

Eval函数的声明为eval(expression[, globals[, locals]])

其中,第二三个参数分别指定能够在eval中使用的函数等,如果不指定,默认为globals()和locals()函数中 包含的模块和函数。

>>> import os
>>> 'os' in globals()
True
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0
>>> eval('os.system('whoami')',{},{})
Traceback (most recent call
最低0.47元/天 解锁文章
pyjishu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python eval的用法及注意事项
wuyouxiaoli的博客
02-08 400
evalPython的一个内置函数,这个函数的作用是,返回传入字符串的表达式的结果。想象一下变量赋值时,将等号右边的表达式写成字符串的格式,将这个字符串作为eval的参数,eval的返回值就是这个表达式的结果。 pythoneval函数的用法十分的灵活,但也十分危险,安全性是其最大的缺点。本文从灵活性和危险性两方面介绍eval。 1、强大之处 举几个例子感受一下,字符串与list、tuple、dict的转化。 1 2 3 4 5 6 7
python什么情况下要加eval,为什么必须“执行”? (而不是“ eval”)用于Python导入语句?...
weixin_30531679的博客
01-14 329
I'm trying to run a snippet of Python from within Java, using Jython. If I use an exec statement to import, everything works.PythonInterpreter pi = new PythonInterpreter();pi.exec("import re");Python...
python中的eval函数
菜鸟更要努力呀
07-11 8万+
1 eval函数的简介和语法: eval()函数用来执行一个字符串表达式,并返回表达式的值。还可以把字符串转化为list、tuple、dict。 eval函数的语法: eval(expression[,globals[,locals]]) 参数: expression:表达式。 globals:变量作用域,如果被提供,必须是一个字典对象。 locals:变量作用域,如果被提供,可以...
python禁用内置函数,Python eval:如果我禁用内置函数和属性访问,这仍然很危险吗?...
weixin_39759441的博客
12-23 136
We all know that eval is dangerous, even if you hide dangerous functions, because you can use Python's introspection features to dig down into things and re-extract them. For example, even if you dele...
pythoneval函数
weixin_50853979的博客
06-02 7万+
1.eval函数的语法及用法 (1)语法:eval(expression) 参数明 expression:字符串表达式,可为算法,也可为input函数等。 明:表达式必需是字符串,否则会报错,比如直接输入数值会报错为:“TypeError: eval() arg 1 must be a string, bytes or code object”,如下图所示。 (2)作用:接收运行一个字符串表达式,返回表达式的结果值。 2.实例 (1)简单的计算用法 例1:求得2+3得值。 e
详解python eval函数的妙用
09-21
总的来,`eval()`函数是Python中一个强大的工具,能够执行字符串形式的Python代码。然而,它的使用应谨慎,特别是在处理不受信任的数据时,以避免潜在的安全风险。了解其工作原理和应用场景,可以帮助我们更好地...
详解pythoneval函数的作用
09-18
在本篇文章里小编给大家整理的是关于pythoneval函数作用以及实例代码,需要的朋友们参考下吧。
python eval()
qq_18668137的博客
01-06 1572
eval(expression, globals=None, locals=None),将字符串str当成有效的表达式来求值并返回计算结果。 example: a = 1 g = {'a':20} eval("a+1",g) result 21   x = 1 y = 1 num1 = eval("x+y") print(num1) def g(): x = 2 ...
pythoneval_eval()函数
weixin_39669769的博客
11-24 332
python内置函数eval(),用来将一个字符串当作python表达式执行,并返回执行结果。比如:>>> a = '[1,2,3,4,5,6]'>>> a'[1,2,3,4,5,6]'>>> alist = eval(a)>>> alist[1, 2, 3, 4, 5, 6]这段代码将一个字符串a,通过eval函数执行,就变成了一个list对象。eval()函数很灵活,我们写的python代码,...
Python eval() 函数看这里就够了
127.0.0.1的博客
10-31 7万+
eval函数在Python中具有非常重要的地位,熟练的使用eval函数能够为我们的Python编程提供很多的便利之处。在本文中我将详细记录eval函数在Python中的使用方法及它带来便利时带来的一些其他危害,希望您阅读完本文后能够有所收获。欢迎在文章下方留言共同交流学习。
python中的 eval 用法
王子老师
12-07 189
python中的eval用法 将字符串中的单引号,双引号去掉 返回 变量-列表-元祖
python eval简介
weixin_38383877的博客
05-10 421
d={"id":1,"name":2} print(d) print(dict({'id':1,'name':2})) # print(dict("{'id':1,'name':2}")) 错误,无法输出 print(dict(eval("{'id':1,'name':2}"))) #eval将字符串转换为字典 输出结果: {‘id’: 1, ‘name’: 2} {‘id’: 1, ‘name’: 2} {‘id’: 1, ‘name’: 2} ...
pythoneval简述
大柠檬的博客
11-27 633
eval()函数在Python中出镜率较高,TF中也频频出现。初学时候经常看的一头雾水。根据自己自学经验的查找的资料总结一下: 先Python中它能干啥,怎么用。 函数原型: eval(expression, globals=None, locals=None) 参数:globals和locals是表达式中变量所在的命名空间,一般默认是全局,但是也可以自己指定,globals必须是字典类型的数据...
evalpython中用法_pythoneval的用法是什么
weixin_33883104的博客
03-04 3239
pythoneval的用法:将字符串str当成有效的表达式来求值并返回计算结果,语法为【eval(source[, globals[, locals]]) -> value】。本教程操作环境:windows7系统、python3.9版,DELL G3电脑,该方法适用于所有品牌电脑。pythoneval的用法:python eval() 函数的功能:将字符串str当成有效的表达式来求值并返...
Python:eval的妙用和滥用
The_Third_Wave的博客
07-08 6万+
eval()函数十分强大,官方demo解释为:将字符串str当成有效的表达式来求值并返回计算结果。 so,结合math当成一个计算器很好用。 其他用法,可以把list,tuple,dict和string相互转化。见下例子: a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]" b = eval(a) b Out[3]: [[1, 2], [3, 4], [5
python中的eval函数的使用详解
热门推荐
涤生大数据
07-01 23万+
evalPython的一个内置函数,功能十分强大,这个函数的作用是,返回传入字符串的表达式的结果。就是:将字符串当成有效的表达式来求值 并返回计算结果。 eval函数就是实现list、dict、tuple与str之间的转化,同样str函数把list,dict,tuple转为为字符串 1.eval的语法 eval(expression[, globals[, loc...
python eval函数使用方法
hesbc的博客
02-10 991
evalPython的一个内置函数,功能十分强大,这个函数的作用是,返回传入字符串的表达式的结果。就是:将字符串当成有效的表达式 来求值 并 返回计算结果。 eval函数就是实现list、dict、tuple与str之间的转化,同样str函数把list,dict,tuple转为为字符串 1.eval的语法 eval(expression[, globals[, locals]]) expression : 表达式。 globals : (可选参数)变量作用域,全局命名空间,如果被提供,...
pythoneval为什么错误
最新发布
05-15
因此,如果要使用 `eval()` 函数,请确保你对表达式的来源和内容进行了充分的验证,以避免安全问题。 如果你的 `eval()` 函数出现错误,可能是因为表达式中包含了无法识别的语法或不正确的语法。在这种情况下,你...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值