【6】基础知识类---eval函数及其安全性问题

最新推荐文章于 2024-03-08 11:58:44 发布
最新推荐文章于 2024-03-08 11:58:44 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: BaseKonwledge 文章标签: eval
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shlleylu/article/details/83540424
版权

eval()函数及其安全性问题

1.主要用途

a. 类型转换:字符串转为列表、字典、元组
  b. 做计算器使用

# 举例1:类型转换:字符串转为列表、字典、元组
mylist = '[1,2,3,4,[5,6,7,8,9]]'
mydict = "{'a':123,'b':456,'c':789}"
mytuple = '([1,3,5],[5,6,7,8,9],[123,456,789])'
'''
print("字符串转为列表", eval(mylist))
print("字符串转为字典", eval(mydict))
print("字符串转为元组", eval(mytuple))
'''
# 举例2
a = 1
g = {'a': 20}
print(eval("a+1", g))  # 21

# 举例3:做计算器使用
x = 1
y = 1
num1 = eval("x+y")
print(num1)  # 2

2.参数

eval(sources, globals=None, locals=None)
    --- 官方文档中的解释是,将字符串str当成有效的表达式来求值并返回计算结果。
    globalslocals参数是可选的,
        (1)如果提供了globals参数,那么它必须是dictionary类型;
        (2)如果提供了locals参数,那么它可以是任意的map对象。
    ⚠️:locals()对象的值不能修改,globals()对象的值可以修改

def func_g():
    x = 2
    y = 2
    num3 = eval("x+y")
    print(num3)  # 4 默认使用局部命名空间
    # 全局命名空间
    # num2 = eval("x+y", globals())  # 2
    # 局部命名空间
    num2 = eval("x+y", locals())  # 4
    print(num2)


func_g()
print(locals()["x"])  # 1
print(locals()["y"])  # 1
print(globals()["x"])  # 1
print(globals()["y"])  # 1

# locals()对象的值不能修改,globals()对象的值可以修改
z = 0


def func_f():
    z = 1
    print(locals())  # {'z': 1}
    locals()["z"] = 2
    print(locals())  # {'z': 1}


func_f()
globals()["z"] = 2
print(z)  # 2

3.安全性问题及解决方式

3.eval有安全性问题,比如用户恶意输入就会获得当前目录文件
    显示你电脑目录结构,读取文件,删除文件.....如果是格盘等更严重的操作
4.怎么避免安全问题?
    (1)自行写检查函数;
    (2)使用ast.literal_eval
Shelleylu
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
eval会存在安全隐患
yigeng3663的博客
06-03 849
可以使用ast.literal_eval 代替
eval函数问题
高山上的鱼
08-26 1366
1)因为eval必须运行编译器,所以效率低。同时js除了显式的eval外,还有隐式调用eval,如Function构造函数,setTimeout,setInterval函数传递字符串参数的形式。如setTimeout(“obj.show1()”,100)和setTimeout(obj.show1,100);是不一样的。所以在使用 setTimeout和 setInterval等 functio
js eval() 安全
bkhech的专栏
02-27 4051
eval函数接收一个参数s,如果s不是字符串,则直接返回s。否则执行s语句。如果s语句执行结果是一个值,则返回此值,否则返回undefined。JavaScript中的eval()不安全,可能会被利用做XSS攻击(跨站脚本攻击(Cross Site Scripting)),eval也存在一个安全问题,因为它可以执行传给它的任何字符串,所以永远不要传入字符串或者来历不明和不受信任源的参数。 eva
记录一次eval问题
Handsome_fan的博客
09-24 413
eval方法接收一个字符串,并且会把传进去的字符串当做js代码去执行。 在讲eval问题之前,我们先看一个数组的问题: var str = 'a' + ['b'] + 'c'; console.log(str); // abc 以上这段代码会输出一个字符串abc,因为数组自动调用了Array.toString()这个方法。 接下来,我们来正式讲eval问题: function log...
pythoneval函数的使用及安全性问题
zoulonglong的博客
05-25 8807
Python有很多内置的很有用的工具函数,结合Python的强大的第三方库,熟练的运用这些内置工具有助于事半功倍,之前写工具遇到eval()函数,发现这个函数非常好用,但是慢慢后来通过网上的资料知道eval这个函数其实有利也有弊,函数涉及到一些安全问题,下面就对eval函数的使用和涉及到的安全问题进行讲解。eval函数的定义:eval()官方文档里面给出来的功能解释是:将字符串string对象转化...
Simple-Calculator:使用For循环,定义,使用lambda函数eval函数定义在python中创建计算器
04-13
Python编程中,创建一个简单的计算器可以涉及到多个核心概念,包括循环、、lambda函数eval函数以及函数定义。下面将详细阐述这些知识点。 1. **For循环**:在Python中,for循环用于迭代遍历序列(如列表、...
Audit-Learning:记录自己对《代码审计》的理解和总结,对危险函数的深入分析以及在p牛的博客和代码审计圈的收获
02-01
《代码审计》是IT安全领域一个至关重要的主题,它涉及到软件开发过程中的安全检查和漏洞检测,以确保代码的质量和安全性。在这个过程中,开发者需要深入理解各种编程语言的特性和潜在的安全风险,尤其是PHP,因为它...
Python-0wned允许在运行时以及安装过程中执行任意代码的Python
08-10
Python-0wned是一个特殊的Python包,其设计目的是在安装和运行时允许执行自定义的任意代码。这个特性使得开发者可以灵活地定制程序的...正确理解和使用这工具,结合安全实践,可以确保代码的灵活性和安全性得到平衡。
matlab开发-如何转换AuserInputstringToFunction
08-26
但请注意,过度使用或不安全地使用eval可能会导致代码安全性问题,因为它可以执行任何MATLAB代码。 为了更安全地处理用户输入并限制其功能,可以使用str2func函数。str2func将字符串转换为函数句柄,这允许我们限制...
jdk-1.8帮助手册.CHM
04-21
- **集合框架**:包括`List`、`Set`、`Map`等接口及其实现,如`ArrayList`、`HashSet`、`HashMap`,以及并发安全的`ConcurrentHashMap`。 - **多线程**:`Thread`和`Runnable`接口用于创建和管理线程,`...
eval函数的用法和危害以及避免方法
wangzhezhilu001的专栏
07-01 4613
1.eval函数及其作用 在python中,eval函数是让字符串型的list、tuple和字典转为list、tuple和dic的一个方法。 例子如下: 2.eval函数的实质 eval的语法格式如下: eval(expression[, globals[, locals]]) expression : 字符串 globals : 变量作用域,全局命名空间,如果被提供,则必须是...
JSON数据的安全性,避免使用eval
Dijason的专栏
03-25 4697
JSON(javascript object notation)可以说是XML的替代品,也是一种数据格式,但JSON更加简单简洁。 我们时常会想把JSON的字符串形式转换成对象,而js提供的eval函数可以帮我们完成这个工作。 var testJson = “{"name": "test", "age": 30}”; var jsonVal = eval(testJson);   //{"n
eval安全缺点
xiaoHelloWord的博客
07-17 477
1.xss攻击 2.sql注入
深入了解Pythoneval函数:基础用法与潜在危险
最新发布
一键难忘的博客
03-08 3378
Python中,`eval`函数是一个强大而灵活的工具,它允许将字符串作为代码来执行。然而,虽然`eval`在某些情况下非常方便,但它也潜藏着一些潜在的危险,如果不小心使用,可能导致安全性问题。在本文中,我们将深入探讨`eval`函数的基础用法,并提供一些使用该函数时需要注意的安全性建议。
为什么在javascript不建议使用eval()函数?
weixin_30914981的博客
03-05 724
eval伪装超时函数setTimeout和setInterval都接受字符串作为第一个参数,该字符串将在全局作用域执行,因为eval不是被直接调用的。 安全问题eval也存在一个安全问题,因为它可以执行传给它的任何字符串,所以永远不要传入字符串或者来历不明和不受信任源的参数。 这个例子中,由于响应的文本包含一个匿名函数,这个函数会修改页面中的第一个表单的action特性,导致表单在提...
前端面试必考:JS中eval()解析、为什么不要使用eval
weixin_34138521的博客
03-17 1142
首先,eval函数的作用是在当前作用域中执行一段JavaScript代码字符串,如下代码段1://代码段1 varfoo=1; functiontest(){ varfoo=2; eval('foo=3'); returnfoo; } test();//3 foo;//1但是 eval 只在被直接调用并且调用函数就是 ev...
ref:关于JAVA中一些安全漏洞示例说明及如何规避方法代码示例总结分享
蝉之洞
10-22 1724
ref:http://www.xwood.net/_site_domain_/_root/5870/5874/t_c268166.html 标签:安全,漏洞,健壮,java,SQL注入,SS及CSRF,命令注入,线程安全 发布时间:2017-09-16 一、前言 这边通过工作整理一些常见安全漏洞解决方法,主要涉及有:框架低版本漏洞、空指针的引用、整数溢出、命令注入、SQL注入、XSS及CSRF、跳转漏洞、HTTP Response Splitting漏洞、路径可控制及代码注入、资源泄露...
python建议:警惕eval函数的安全漏洞
热门推荐
Neo
11-22 1万+
如果你了解JavaScript或者PHP等,那么你一定对eval()所有了解。如果你并没有接触过也没关系,eva()l函数的使用非常简单。 >>> eval("1+1==2") #进行判断 True >>> eval("'a'+'b'") #字符连接 'ab' >>> eval("4+5") #数字相加 9 >...
eval 函数非常危险
superkrissV的专栏
12-12 1077
在一个真实的系统中,会有各种各样强大的,传递给 `eval` 的字符串可以实例化和调用这些。这可能造成永无止境的破坏。
怎么保证eval函数执行的安全性
05-30
为了保证 `eval()` 函数安全性,可以考虑以下几点: 1. 避免将用户输入的字符串直接作为 `eval()` 函数的参数,因为用户可能会输入恶意代码。应该对用户输入进行合法性检查,并严格限制输入的内容。 2. 如果必须...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值