YAML简介和PyYAML安全操作

最新推荐文章于 2024-06-11 15:42:39 发布
最新推荐文章于 2024-06-11 15:42:39 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: DEV 文章标签: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15174755/article/details/112041709
版权

YAML 是 “YAML Ain’t a Markup Language”(YAML 不是一种标记语言)的递归缩写,是一种人类易读的数据序列化语言。它通常运用在一些数据代码分离场合:用于配置文件,但也用于数据存储(例如调试输出)或传输(例如文档标题)。YAML 的配置文件后缀为 .yml,如:runoob.yml 。

YAML支持的类型

  • 对象
    键值对的集合,又称为映射(mapping)/ 哈希(hashes) / 字典(dictionary)
  • 数组
    一组按次序排列的值,又称为序列(sequence) / 列表(list)
  • 纯量
    单个的、不可再分的值

YAML的优点:

可读性好;和脚本语言的交互性好;有一个一致的信息模型;易于实现;可以基于流来处理;表达能力强,扩展性好。

yaml的基本语法

1、大小写敏感;
2、使用缩进表示层级关系,缩进只可以使用空格,不允许使用tab,遵守左对齐即可;
3、列表中项通过“-”表示,字典中的通过“:”表示;
4、# 表示注释,和python表示注释一样。

  • 数值
number: 12.30
number2: 6.8523015e+5  #科学计数法表示
number3: 0b1010_0111_0100_1010_1110    #二进制表示
  • 布尔值用
isSet: TRUE
  • null表示
parent: ~
  • 日期时间
time: 2019-11-01T21:59:43.10-05:00
  • 转换数据类型。
int_to_str: !!str 123
bool_to_str: !!str true

一个比较完整的例子:

# 这是注释
name: Joe
age: 18
languages:
  - Python 
websites:
  YAML: yaml.org 
  Python: python.org

python操作

安装

pip install pyyaml

加载

PyYAML加载YAMl文件有8种方法:load()load_all()safe_load() safe_load_all()unsafe_load()unsafe_load_all()full_load()full_load_all()。建议使用安全的safe_load()函数加载YAML文件。

# coding:utf-8
import yaml


with open('test.yaml','r',encoding='utf-8') as f:
    y = yaml.safe_load(f.read())
    print(y)

结果

>>>{'name': 'J', 'age': 18, 'text': {'name': '软件'}, 'skill': [{'name1': '测试'}, {'name2': '功能'}]}

关于PyYAML的load()方法的安全问题

PyYAML开发者明确知悉load()存在安全问题,但因为向前兼容的问题没有将load()改为默认以安全方式加载。建议在调用load()时必须以Loader=指定加载方式来缓解,因此没有该参数情况下调用load()会产生警告。

在PyYAML 5.1+之前,load()可以轻松利用该函数来调用任何Python函数。这意味着它可以使用调用任何系统命令os.system()。这是一个简单的示例:

python -c 'import yaml; yaml.load("!!python/object/new:os.system [echo EXPLOIT!]")'

pyyaml-5.3.1以后,仍然存在一些琐碎的漏洞利用,不要在不受信任的数据上使用load,特别是FullLoader加载。

同时,PyYAML作者有意和Pickle序列化兼容,会导致不可信数据被不安全地加载。

  • 除去警告

load时按需指定参数Loader即可:

yaml.load(input, Loader=yaml.FullLoader)
加载器描述
BaseLoader仅加载最基本的YAML。所有标量都作为字符串加载。
SafeLoader安全地加载YAML语言的子集。建议用于加载不可信的输入。
FullLoader加载完整的YAML语言。避免了一些执行代码。
UnsafeLoader不受信任的输入可能执行其他代码。

后续FullLoader可能会弃用。

  • 强制禁止警告
yaml.warnings({'YAMLLoadWarning': False})

写出

PyYAML写出有四个函数:dump()dump_all()safe_dump()safe_dump_all(),下面以safe_dump()为例:

import yaml

config = {'a': ['1', 'b']}
    with open('test.yaml', 'w', encoding='utf8') as f:
        yaml.safe_dump(config, f)
B1u3Buf4
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python使用pyyaml模块处理yaml数据
01-21
pyyaml模块在python中用于处理yaml格式数据,主要使用yaml.safe_dump()、yaml.safe_load()函数将python值和yaml格式数据相互转换。当然也存在yaml.dump()、yaml.load()函数,同样能实现数据转换功能,只是官方不太推荐使用。官方给出的解释,因为yaml.safe_dump()、yaml.safe_load() 能够: Resolve only basic YAML tags. This is known to be safe for untrusted input. 如果想对一个yaml文件中的多块yaml数据进行转换操作,则
yaml及使用PyYaml操作yaml文件详解
最爱嫣夜来
12-16 5979
1.yaml主要用途 YAML 是专门用来写配置文件的语言,非常简洁和强大,远比 JSON 格式方便。 2.yaml支持的数据结构 数据结构名称 包含的数据类型 描述说明 纯量 字符串、布尔值、整数、浮点数、Null、时间、日期 不可变数据类型,单个的、不可再分的值 数组 序列(sequence) / 列表(list) 一组按次序排列的值 对象 映射(mapping)/ 哈希(hashes) / 字典(dictionary) 键值对的集合 3.yaml语言的语法规则 大小写敏感
【[Python]如何使用yaml.safe_dump序列化OrderedDict】
最新发布
qq_42750427的博客
06-11 227
yaml.safe_dump把一个OrderedDict类型的数据写入yaml时,遇到报错yaml.representer.RepresenterError。
yamlpyyaml
weixin_43466026的博客
08-05 526
安装yaml报错的时候换成pyyaml
python通过PyYaml操作yaml文件
ben_na_的博客
04-10 1453
1、YAML文件介绍 YAML全称YAML Aint't a Markup Language(YAML不是一种标记语言),是一种易读的序列化语言 通常应用在一些数据代码分离的场合,比如配置文件中 2、Python读取、存储数据到YAML pythonPyYaml模块是PythonYAML解析器和生成器 读取YAML文件 def read_yaml(): with open(path, "r", encoding="utf-8") as f: result = f.read()
python yaml配置文件_python读取配置文件yaml
weixin_39550172的博客
12-08 207
YAML:一种非标记语言,可以简单表达清单、列表等数据形态,文件后缀为 .yml基本语法:1.大小写敏感2.使用缩进表示层级关系3.缩进不允许使用tab,只允许空格,但是对空格数不要求4.# 表示注释数据类型1.键值对key: value ":"和value之间应该有空格# 字典 {'name': "test", 'age': 12}name: testage: 122.列表#列表 [1,2 ,...
Python自动化测试中yaml文件读取操作
09-16
注意,对于较新的`pyyaml`版本,为了安全起见,推荐使用`yaml.safe_load()`代替`yaml.load()`。 下面是一个简单的读取yaml文件的Python代码示例: ```python import yaml yaml_path = "your_file_path.yaml" with...
python操作yaml说明
09-17
总之,Python操作YAML是通过PyYAML库实现的,主要涉及加载YAML文件、将字典序列化为YAML以及处理YAML的特性和安全问题。在实际项目中,正确理解和使用这些知识能有效提升数据处理的效率和安全性。
Python3操作YAML文件格式方法解析
12-20
总结来说,Python3 中操作 YAML 文件的关键在于理解 YAML 的语法规则,以及使用 `pyyaml` 库提供的 `safe_load()` 和 `dump()` 方法进行数据的读取和写入。YAML 的灵活性和简洁性使其成为处理复杂数据结构的理想选择...
PyYAML-5.3.1.tar.gz
08-20
4. **安全性**:PyYAML 提供了安全的加载选项,以防止 YAML注入攻击。在解析不可信的 YAML 数据时,应始终启用安全模式。 PyYAML 还提供了丰富的错误处理和调试工具,帮助开发者更好地理解和解决可能出现的问题。它...
安装 pyyaml
哲学天空的博客
09-24 1800
pip install pyyaml
PythonPyYAML库介绍及用法
qq_53871375的博客
01-25 2779
YAML,全称是"YAML Ain't a Markup Language"(YAML 不是一种标记语言),是一种人类可读的数据序列化标准格式。它通常用于配置文件、数据交换等需求中。YAML的设计目标是,数据结构易于理解,对人类友好,容易配对语言之间流通使用,且支持一次性dump(转储),然后又能一次性导入到程序里。YAML数据通常使用.yml或.yaml为文件扩展名。一份YAML文件可能包含基本类型(数字,字符串,布尔型),数据集合(数组,列表),以及关联数组(哈希表,字典)
pycharm运行YOLOv5 (一)
影子
09-01 6187
YOLOV5速度更快,最快科大140fps,体积更小,只有v4的1/9基于pytorch框架,更易于移植。YOLOv5的环境搭建。
tx2+Ubuntu18.04+yolov5
d1486395282的博客
05-25 480
项目场景: Ubuntu18.04配置yolov5(v6.0) tx2,arm,jet4.6.1,python3.6.9 问题 ①换源 换源最好官网自己搜索,许多教程里面复制的很可能只适用x86,arm不可以,x86的会导致update出现许多failed。我用的清华源:–清华源官网 ②安装pip,关于pip版本 pip22不可以用,对于python3.6来说版本过高,我用的pip21.3.1。建议指令安装,自己下载包安装很可能和python版本不兼容!(你猜我咋知道。。) ③满足requireme
[Python]python+yaml三行代码完成配置文件灵活读取与warning:YAMLLoadWarning处理
qq_41604569的博客
05-24 450
前言—废话 在开发一些小工具的时候,偶尔会频繁的修改某一个常量或者变量的值,如果每次都去打开自己都不想看到的代码,那心情得是多么的糟糕;不过也无妨,我们可以不打开代码同时让其使用最新的变量数据,最大的功劳就来自有配置文件;我们可以自由的修改配置文件中的内容,如果你在本地修改一个txt文本文档,借助配置文件,我们可以将所有可能会变化的参数存放在这里,需要修改的时候,直接针对配置文件做修改即可; 废话说了这么多我们一步一步来实现刚才吹过的牛; 开始干 一共就简单的使用了两个文件,先讲下等会要用的文件布局: --
ERROR: Cannot uninstall ‘PyYAML’. It is a distutils installed project and thus we cannot accurately
执妄
08-23 788
用requirements.txt文件安装依赖时,出现错误,已经安装了PyYAML==5.3.1,无法卸载。强制安装,仍然无法通过requirements.txt,在网上找到解决办法。删掉Anaconda里面的。然后正常安装PyYAML即可。输入以下命令,找出PyYAML的所有相关文件,删除掉。
Yolov5_DeepSort_Pytorch代码运行指南(dongdv95/yolov5)视频人群计数
专注“目标检测”领域技术分享
02-19 3322
注意:如果你使用的是国内的源来安装,国内这个源的python版本并不齐全。如果你指定说我就是要下载3.8.1这个小版本,那么你必须连接外网,否则这个版本是下载不下来的。因为它写的是 >=,这样安装的话会安装大于这个版本号的情况下,最新的版本的package。但是作者编写这个项目的时候,往往使用的是比较老的版本的包。因此推荐你安装,满足条件的情况下,最老的版本。)下载python。注意,作者的意思不是这个7个参数一起传进--source,而是说你传进去一个参数,这个参数有7种类型的东西都可以传进去。
python中使用yamlPyYAML和ruamel.yaml简介
qq_33263124的博客
02-08 6752
yaml格式基础 yaml格式的基础介绍在网上很多,可以参考下面这篇博客 https://www.jianshu.com/p/97222440cd08 总结一下yaml格式主要由3种格式组成 常量 对象 数组,用法见下面的例子 #即表示url属性值; url: http://www.wolfcode.cn #即表示server.host属性的值; server: host: http:/...
YAML+PyYAML笔记 9 | PyYAML源码之dump(),dump_all(),safe_dump(),yaml.YAMLObject
虫无涯的博客
07-31 723
用元类来注册一个构造器(也就是代码里的 init() 方法),让你把yaml节点转为Python对象实例,用表示器(也就是代码里的 repr() 函数)来让你把Python对象转为yaml节点,将Python对象序列化为YAML流。只生成基本的YAML标签。如果stream为None,则返回生成的字符串。如果stream为None,则返回生成的字符串。将Python对象序列化为YAML流。如果stream为None,则返回生成的字符串。一个可以将自己转储到YAML流的对象,并且从YAML流加载自身。
java操作yaml工具类
04-29
Java操作YAML工具类是一种用于读取和写入YAML格式文件的工具类。YAML(“YAML Ain't Markup Language”的缩写)是一种轻量级的数据序列化格式,它旨在成为一种易于阅读和编辑的数据格式。使用Java操作YAML工具类能够方便地与这种格式的数据交互。 Java中有许多可用的YAML库,其中最受欢迎的是SnakeYAML。这个库提供了一系列API,可以像读写Java对象一样读写YAML文件。使用SnakeYAML可以简单地将YAML文件加载到Java对象中,并将Java对象转换为YAML文件。因此,这个工具类可以封装SnakeYAML并提供更方便的方法来读写YAML文件。 这个工具类可以有许多方法,包括读取YAML文件到Java对象、将Java对象写入YAML文件、添加、更新、删除YAML文件中的条目等。例如,可以定义一个方法来读取YAML文件中的数据,如下所示: ``` public static Object readYaml(String filePath) throws IOException { Yaml yaml = new Yaml(); try (InputStreamReader reader = new InputStreamReader(new FileInputStream(filePath), StandardCharsets.UTF_8)) { return yaml.load(reader); } } ``` 这个方法使用SnakeYAML库创建Yaml对象,然后将YAML文件加载到Java对象中。可以使用类似的方法来写入Java对象并生成YAML文件。 使用Java操作YAML工具类可以简化读写YAML文件的过程,使代码更加易于阅读和理解。它还可以提高代码的可重用性和可维护性,并使代码更加机动灵活。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值