python中强大但又危险的eval,可将字符串转函数并执行

最新推荐文章于 2022-12-12 09:05:11 发布
最新推荐文章于 2022-12-12 09:05:11 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32743235/article/details/100584439
版权

eval函数的危险性以及如何设置白名单进行规避风险,但是白名单设置复杂,相关内容参考

https://segmentfault.com/a/1190000011532358

 

其他方式如何规避:

一般情况,可以使用ast.literal_eval()函数是可以代替eval()。但是ast.literal_eval()在将字符串转成函数进行调用时,很可能会报错。可以使用

声明:以下纯属个人观点,欢迎指正

这时还是要用eval(),但用户可能在eval中输入以下

eval("open(r'D://filename.txt', 'r').read()")   # 读取文件


eval("__import__('os').system('dir')")  # 获取文件目录


eval("__import__('os').system('rm -rf /etc/*')") # 当/etc不存在时就会直接执行/*,有多恐怖自己想

所以简单的方法是eval()内的输入不能让用户进行选择,我们可以将用户输入进行一定程度的拼接,从而规避此类风险,例如:

Pj_id = '00000001'   # 项目号,由用户输入
code = '01'   # 编码,可以由用户输入
Sys = 'sys01'  # 系统编码 可以由用户输入
num = 10   # 一个输入数字
time = 50  # 秒

eval("c" + code+ "_" + Sys+ ".P9('{i}',{j}, {n})".format(i=Pj_id, j=num,n=time))

这里会调用 c01_sys01这个python文件下的P9函数,并且传入了Pj_id ,num,time三个参数,注意它们都在一个字符串内,这样遭遇恶意输入时,程序会直接报错,也不会执行,因为它无法构成一个可执行的函数.

总结:切记不能让用户直接输入eval()内的所有内容,将用户输入进行一定程度的拼接可以打乱原本的输入,起到规避程序执行恶意输入的作用

十里桃林折颜
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
80. Python eval函数-执行一个字符串表达式并返回执行结果
weixin_63986098的博客
03-19 1681
Python eval函数-执行一个字符串表达式并返回执行结果
Python技巧】教你如何使用eval函数解析和执行字符串代码,让你的程序更加智能!
2401_84204034的博客
05-01 1026
Pythoneval函数是一个非常强大函数,它可以将字符串作为代码进行解析和执行。通过使用eval函数,我们可以实现一个简单的计算器功能。下面我们将详细介绍如何使用eval函数来实现这个功能。首先,我们需要定义一个函数,该函数将接收一个字符串表达式作为参数,并返回计算结果。代码如下: 在这个函数,我们使用了try-except语句来捕获可能出现的异常。如果表达式无法被eval函数解析,我们将返回一个错误提示信息。接下来,我们可以编写一个简单的用户界面,让用户输入表达式并得到计算结果。代码如下: 在
Pythoneval--字符串解析
君只见独不见的专栏
03-23 4967
以前在C语言常用占位符,来实现字符串解析,当然Python也有这种用法:a = 10 print("%s + 1" % a)    运行结果:10 + 1但是占位符只能做替换,其实跟字符串拼接没有什么区别,在替换变量少时比拼接更麻烦,所以现在用的比较少了,更多的时候是在数据库查询和需要替换变量个数较多时。这里我们要介绍一个更加强大函数,不仅可以完成替换,还可以还可以把字符串变成一个表达式进...
python】: eval() 函数用来执行一个字符串表达式,并返回表达式的值
Jack_Kuo的博客
01-19 299
例子: # Definition for a binary tree node. # class TreeNode(object): # def __init__(self, x): # self.val = x # self.left = None # self.right = None class Codec: def serialize(self, root): def dfs(root): if
eval的使用python_python:利用eval执行字符串代码
weixin_39710251的博客
12-04 450
接口eval(str [,globals [,locals ]])函数字符串str当成有效Python表达式来求值,并返回计算结果之前看到eval这个函数时一直想不到需要用的地方,今天正在研究python属性相关问题时正好用上了,直接上代码def func():f =1if __name__ == '__main__':#打印func的内建属性print dir(func)输出如下:['__ca...
Python 执行字符串表达式函数(eval exec execfile)
12-25
eval:计算字符串的表达式 exec:执行字符串的语句 execfile:用来执行一个文件 需注意的是,exec是一个语句,而eval()和execfile()则是内建built-in函数Python 2.7.2 (default, Jun 12 2011, ...
python字符串化成长表达式的函数eval实例
09-16
`eval()`函数Python的一个内置函数,用于求值传入的字符串参数,并将其视为有效的Python表达式。它接受一个字符串作为参数,并尝试将该字符串解析并执行Python代码。其基本语法如下: ```python eval...
Python实现判断字符串包含某个字符的判断函数示例
12-25
本文实例讲述了Python实现判断字符串包含某个字符的判断函数。分享给大家供大家参考,具体如下: #coding=utf8 #参数包含两个: #containVar:查找包含的字符 #stringVar:所要查找的字符串 def ...
渗透学习之Python--格式化字符串漏洞
qq_62886656的博客
10-08 737
渗透学习之Python--格式化字符串漏洞
Python 的 10 个常见安全漏洞,以及如何避免(下)
weixin_34146805的博客
06-27 156
2019独角兽企业重金招聘Python工程师标准>>> ...
eval 函数非常危险
superkrissV的专栏
12-12 1114
在一个真实的系统,会有各种各样强大的类,传递给 `eval` 的字符串可以实例化和调用这些类。这可能造成永无止境的破坏。
pythoneval函数用法,将字符串换成表达式
qq_35958094的博客
11-26 6612
用法: eval(expression, globals=none, locals=none) expression:是一个字符串; globals :全局命空间,必须是一个字典对象; locals:局部命空间,如果被提供,可以是任何映射对象; 举例: 1、a =1 print(eval('a+7')) 结果直接计算为8 2、globals...
【知识点】eval() 的用法
热门推荐
mzy20010420的博客
09-18 1万+
eval () 作用 只去掉最外层引号eval()的参数形式为字符串字符串变量,在程序可以将字符串形式的输入值化为数字进行计算。
python eval和其替代函数ast.literal_eval方法
py_tester的博客
10-01 5151
一、eval函数 原文链接:https://blog.csdn.net/sinat_33924041/article/details/88350569 eval()官方文档里面给出来的功能解释是:将字符串string对象化为有效的表达式参与求值运算返回计算结果。 >>> s='8*8' >>> eval(s) 64 >>> eval('2+...
Python3 exec(), eval() 以及 execfile() 的替代方案
you_get_me_there的博客
12-16 2848
1. exec() 方法是 python3 内置的方法, 通过帮助命令 >>> help(exec) Help on built-in function exec in module builtins: exec(source, globals=None, locals=None, /) Execute the given source in the context of globals and locals. The source may be a string
pythonstr()函数eval()函数
Maystyle的博客
02-13 1379
str()和eval()是一对作用相反的函数,str是将参数外面加上引号变成字符串eval()是将参数两边的引号去掉,根据剩余的部分进行评估,执行不同的功能。比如eval(‘123’)将返回数字123;eval(‘pow(2,3)’)将计算pow(2,3)的值。eval很方便,有些时候能与input()函数搭配简化编程操作。 ...
pythoneval函数和exec函数的区别与联系
heavenmark的博客
06-08 789
前言 最近在用python写一个小工具,有一个场景是需要将用户手动输入的字符串转成代码,一开始不知道python有内置函数可以直接完成这件事,倒腾了很久,后面还是靠度娘找到了eval函数,部分解决了我的问题,期间遇到困难,又发现了exec函数,因此稍微研究了下两者的区别和用途。 一、eval函数 首先,eval函数和exec函数都用将字符串转成代码并执行eval函数使用方法如下: eval(expression, globals=none, locals=none) expression:是一个字符串
pythoneval函数怎么用_eval字符函数(python教程)
weixin_39803022的博客
11-24 699
eval(str [,globals [,locals ]])函数字符串str当成有效Python表达式来求值,并返回计算结果。同样地, exec语句将字符串str当成有效Python代码来执行.提供给exec的代码的称空间和exec语句的称空间相同.最后,execfile(filename [,globals [,locals ]])函数可以用来执行一个文件,看下面的例子:&gt&gt&g...
简单的病毒编程代码Python,利用python编写勒索病毒
纸尿裤排行
09-16 1万+
●介绍用QQ看电视的方法●用最简单的方法让QQ上的好友露出原形●QQ使用的七大非常规秘籍●看完这些,你就是电脑高手了●XP扮靓进行时 文件夹颜色随心换●电脑常用密码破解●保护隐私:Windows八大保密技巧●Windows操作系统快速关机之谜●恢复丢失数据的方法●连接宽带时出错表示的意思●电脑高手应用技巧荟萃●想让你的电脑键盘说话吗?2.打开我的电脑,依次打开“工具/文件夹选项/查看”,里面有一个“隐藏受保护的操作系统文件”,把前面的勾去掉,会出来一个警告窗口,选“是”。
Python字符串为可执行函数,并获取函数的入参、入参默认值、入参类型
最新发布
09-10
Python,可以使用内置的`eval()`函数字符串换为可执行的代码,但这通常不推荐使用,因为`eval()`会执行字符串内的任何Python表达式,这可能会带来安全风险。更安全的做法是使用`ast.literal_eval()`来执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值