在Python中,有两个内置函数,可以把一堆字符串类型的代码,转换为Python解释器能够执行的代码。这两个函数就是:eval()和exec()。
它们的作用与区别如下:
- eval()函数:将字符串转换为Python表达式并计算返回结果。也就是说,它一般用于计算并返回单个表达式的值,并返回执行结果。
- 只能执行有返回值的代码
>>> a = eval("[1,2,3]")
>>> a
[1, 2, 3]
>>> eval("a=[1,2,3]")
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
File "<string>", line 1
a=[1,2,3]
^
>>> eval("test()",globals())
1111
>>> eval("test()",globals())
1111
>>> locals()
- exec()函数:用于动态执行Python代码。也就是说,它可以执行任何字符串类型的Python代码,但是没有返回值。
啥都能执行,就是没有返回值
风险在于,不管输入什么都可以,尝试转换成python代码。
那么,如果我们做了一些措施,比如说御前校验。那这函数功能还是蛮强大的,如json.loads模块,也是通过相关的方法实现的。