Python 的 eval与 exec 安全用法最佳实践

最新推荐文章于 2024-05-11 01:20:21 发布
最新推荐文章于 2024-05-11 01:20:21 发布
阅读量3.1k 收藏 2
点赞数
分类专栏: python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_38682860/article/details/89525142
版权

Python 提供了很多内置的工具函数(Built-in Functions),今天我们一起来探索两个函数的安全用法:evel() 与 exec()。

1、eval 的基本用法 

 

由此可见,当指定了命名空间的时候,变量会在对应命名空间中查找。而且,它们的值不会覆盖实际命名空间中的值。 

2、exec 的基本用法 

3、一些细节辨析 

两个函数都很强大,它们将字符串内容当做有效的代码执行。这是一种字符串驱动的事件 ,意义重大。然而,在实际使用过程中,存在很多微小的细节,此处就列出我所知道的几点吧。 

常见用途:将字符串转成相应的对象,例如 string 转成 list ,string 转成 dict,string 转 tuple 等等。 

 

eval() 函数的返回值是其 expression 的执行结果,在某些情况下,它会是 None,例如当该表达式是 print() 语句,或者是列表的 append() 操作时,这类操作的结果是 None,因此 eval() 的返回值也会是 None。 

 

exec() 函数的返回值只会是 None,与执行语句的结果无关,所以,将 exec() 函数赋值出去,就没有任何必要。所执行的语句中,如果包含 return 或 yield ,它们产生的值也无法在 exec 函数的外部起作用。 

 

两个函数中的 globals 和 locals 参数,起到的是白名单的作用,通过限定命名空间的范围,防止作用域内的数据被滥用。 

conpile() 函数编译后的 code 对象,可作为 eval 和 exec 的第一个参数。compile() 也是个神奇的函数,我翻译的上一篇文章《Python骚操作:动态定义函数》就演示了一个动态定义函数的操作。 

吊诡的局部命名空间:前面讲到了 exec() 函数内的变量是可以改变原有命名空间的,然而也有例外。 

 

按照前面的理解,预期的结果是局部变量中会存入变量 y,因此两次的打印结果都会是 2,然而实际上的结果却是: 

 

 

 

KeyError 指的是在字典中不存在对应的 key 。本例中 y 作了声明,却因为循环引用而无法完成赋值,即 key 值对应的 value 是个无效值,因此读取不到,就报错了。 

此例还有 4 个变种,我想用一套自恰的说法来解释它们,但尝试了很久,未果。留个后话吧,等我想明白,再单独写一篇文章。 

4、为什么要慎用 eval() ? 

很多动态的编程语言中都会有 eval() 函数,作用大同小异,但是,无一例外,人们会告诉你说,避免使用它。 

为什么要慎用 eval() 呢?主要出于安全考虑,对于不可信的数据源,eval 函数很可能会招来代码注入的问题。 

 

在以上例子中,我的隐私数据就被暴露了。而更可怕的是,如果将命令改为rm -rf ~ ,那当前目录的所有文件都会被删除干净。 

针对以上例子,有一个限制的办法,即指定 globals 为 {'__builtins__': None} 或者 {'__builtins__': {}} 。 

 

__builtins__ 包含了内置命名空间中的名称,在控制台中输入 dir(__builtins__) ,就能发现很多内置函数、异常和其它属性的名称。在默认情况下,eval 函数的 globals 参数会隐式地携带__builtins__ ,即使是令 globals 参数为 {} 也如此,所以如果想要禁用它,就得显式地指定它的值。 

上例将它映射成 None,就意味着限定了 eval 可用的内置命名空间为 None,从而限制了表达式调用内置模块或属性的能力。 

但是,这个办法还不是万无一失的,因为仍有手段可以发起攻击。 

某位漏洞挖掘高手在他的博客中分享了一个思路,令人大开眼界。其核心的代码是下面这句,你可以试试执行,看看输出的是什么内容。 

 

这行代码会导致 Python 直接 crash 掉。

除了黑客的手段,简单的内容也能发起攻击。像下例这样的写法, 将在短时间内耗尽服务器的计算资源。 

>>> eval("2 ** 888888888", {"__builtins__":None}, {})

如上所述,我们直观地展示了 eval() 函数的危害性,然而,即使是 Python 高手们小心谨慎地使用,也不能保证不出错。 

在官方的 dumbdbm 模块中,曾经(2014年)发现一个安全漏洞,攻击者通过伪造数据库文件,可以在调用 eval() 时发起攻击。(详情:https://bugs.python.org/issue22885) 

无独有偶,在上个月(2019.02),有核心开发者针对 Python 3.8 也提出了一个安全问题,提议不在 logging.config 中使用 eval() 函数,目前该问题还是 open 状态。(详情:https://bugs.python.org/issue36022) 

如此种种,足以说明为什么要慎用 eval() 了。同理可证,exec() 函数也得谨慎使用。 

5、安全的替代用法 

Python 学习者
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
eval 函数非常危险
superkrissV的专栏
12-12 1094
在一个真实的系统中,会有各种各样强大的类,传递给 `eval` 的字符串可以实例化和调用这些类。这可能造成永无止境的破坏。
pythonexeceval使用分析
09-21
### Python的`exec`与`eval`使用分析 在Python编程语言中,`exec`与`eval`是非常有用的工具,能够实现动态执行代码的功能。这两种方法不仅提供了代码灵活性,也带来了一定的安全风险。下面我们将深入探讨这两个...
Pythonevalexec 安全用法最佳实践_eval exec
m0_56169789的博客
04-26 391
Python崛起并且风靡,因为优点多、应用领域广、被大牛们认可。学习 Python 门槛很低,但它的晋级路线很多,通过它你能进入机器学习、数据挖掘、大数据,CS等更加高级的领域。Python可以做网络应用,可以做科学计算,数据分析,可以做网络爬虫,可以做机器学习、自然语言处理、可以写游戏、可以做桌面应用…Python可以做的很多,你需要学好基础,再选择明确的方向。这里给大家分享一份全套的 Python 学习资料,给那些想学习 Python 的小伙伴们一点帮助!
2024年Python最全Pythonevalexec 安全用法最佳实践_eval exec(1),阿里常见面试题
2401_84140485的博客
05-09 353
🍅 硬核资料:关注即可领取PPT模板、简历模板、行业经典书籍PDF。🍅 技术互助:技术群大佬指点迷津,你的问题可能不是问题,求资源在群里喊一声。🍅 面试题库:由技术群里的小伙伴们共同投稿,热乎的大厂面试真题,持续更新中。🍅 知识体系:含编程语言、算法、大数据生态圈组件(Mysql、Hive、Spark、Flink)、数据仓库、Python、前端等等。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化学习资料的朋友,可以戳这里获取。
python eval exec_pythonevalexec用法比较
weixin_39784972的博客
11-30 115
区别:1、execeval语句的主要区别是,exec把字符串转化成一个python代码执行,而eval从一个表达式里返回值。2、exec没有返回值,eval有返回值代码示例:>>> eval("2+3")5>>> exec("a=2+3")>>>a5>>> eval("2+3")5>>> exec("print(1)")1evaleval() 函数用来执行一个字符串表达式,并返回表达式的值。即实...
Python eval()和exec()函数(详解)
梁辰兴的博客
12-24 801
需要注意的是,在使用 eval() 或是 exec() 来处理请求代码时,函数 eval() 和 exec() 常常会被黑客利用,成为可以执行系统级命令的入口点,进而来攻击网站。eval() 和 exec() 函数的功能是相似的,都可以执行一个字符串形式的 Python 代码(代码以字符串的形式提供),相当于一个 Python 的解释器。可以看出,exec() 中最适合放置运行后没有结果的语句,而 eval() 中适合放置有结果返回的语句。其中,a 为执行语句生成的变量,系统将其放到指定的作用域字典里;
Python内置函数 — evalexec,compile
个人博客
03-06 982
在上述示例中,我们分别使用`compile()`函数将代码、表达式和单行代码编译成可执行代码对象,并通过`exec()`和`eval()`来执行这些编译后的代码。在示例中,使用`eval()`函数来计算了一些简单的表达式,通过传入不同的全局变量和局部变量,可以在表达式中进行相应的计算。`exec()`函数是Python中的一个内置函数,用于执行包含在字符串中的Python代码。需要注意的是,`exec()`函数执行的是任意Python代码,因此使用时应谨慎,避免执行可能会导致安全问题或副作用的代码。
2024年Python最新Pythonevalexec 安全用法最佳实践_eval exec(3),程序员面试题精选100题答案
m0_60452293的博客
05-11 310
Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照下面的知识点去找对应的学习资源,保证自己学得较为全面。工具都帮大家整理好了,安装就可直接上手!当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。观看全面零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
2024年Python最全Pythonevalexec 安全用法最佳实践_eval exec(4),2024年最新今日头条hr面试问题
2401_84140506的博客
05-09 380
Python崛起并且风靡,因为优点多、应用领域广、被大牛们认可。学习 Python 门槛很低,但它的晋级路线很多,通过它你能进入机器学习、数据挖掘、大数据,CS等更加高级的领域。Python可以做网络应用,可以做科学计算,数据分析,可以做网络爬虫,可以做机器学习、自然语言处理、可以写游戏、可以做桌面应用…Python可以做的很多,你需要学好基础,再选择明确的方向。这里给大家分享一份全套的 Python 学习资料,给那些想学习 Python 的小伙伴们一点帮助!
Python | evalexec | 执行动态代码字符串
解决自己遇到的问题 分享认为有意义的知识 提供有一点点参考价值的灵感
08-18 1942
python eval, python exec. python执行动态代码表达式或动态代码块;①eval用于执行一行逻辑表达式字符串 ②exec用于执行代码块字符串;用法介绍:
PYTHON EVAL用法及注意事项解析
09-18
- 使用`exec`函数:如果确实需要执行Python代码,可以考虑使用`exec`,但同样需要注意安全问题,因为它也可以执行任意的Python代码。 - 自定义解析逻辑:针对特定需求,可以编写自定义函数来解析和处理字符串。 ...
python函数eval的使用与利弊
12-20
安全性是首要考虑时,优先考虑其他替代方法,如`exec()`(用于执行多行代码)或`ast.literal_eval()`(用于解析非执行性的数据结构)。同时,确保对`eval()`的使用有充分的理解和控制,才能充分利用其优点,避免...
深度辨析Pythoneval()与exec()的方法
12-31
大部分函数是我们经常使用的,例如 print()、open() 与 dir(),而有一些函数虽然不常用,但它们在某些场景下,却能发挥出不一般的作用。内置函数们能够被“提拔”出来,这就意味着它们皆有独到之处,有用武之地。 ...
基于Hog和SVM的行人检测python源码+文档说明
08-05
<项目介绍> 这是采用Hog和SVM的行人检测。 步骤 1,运行crop_image 剪裁负样本的图片 2,运行detection.cpp 进行HOG的提取和SVM的训练 3,运行find_save_hardexample训练hardneg 4,运行detection.cpp 生成最终的SVM模型 5,如果需要检测生成模型的xml,可以运训test_mai - 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
最新直播系统带商城源码 附搭建教程(价值2w多)
08-05
最新直播系统带商城源码 附搭建教程 功能介绍: 礼物系统:普通礼物、豪华礼物、热门礼物、守护礼物、幸运礼物 提现方式:统一平台提现日期及方式,方便用户执行充值提现操作 连麦送礼PK:主播之间可进行互动连麦送礼PK,PK结束有相应的奖惩 直播间红包:平台主播及用户都可发红包,有多种红包类型及红包提醒 主播守护:可进行平台充值,守护心仪的主播,主播守护时长有多种设置 小视频拍摄:单独的小视频模块,包含视频列表,视频拍摄、编辑、上传、互动等 引导图功能:优化更新系统引导图,后台可上传图片或视频内容,视频内容可跳过 动态:点击动态可进入动态详情页,包含话题的动态点击话题可进入该话题动态列表,可查看该话题下所有动态信息,用户可对动态进行点赞、评论、举报等操作 商城:可通过商品名称搜索商品,搜索后可根据销量价格等进行筛选 商品详情:查看商品的名称价格销量评价等信息,可进入店铺,可与客服沟通,可直接购买 直播观看送礼提示:用户赠送礼物后,直播间公屏聊天处有送礼提示 直播购物车:观众在直播间中可查看主播直播购物车中的商品,点击某个商品跳转到商品介绍页面,商品介绍上有购买按钮,
[毕业设计]Java轻量级即时通讯客户端设计与开发(源代码+论文).zip
最新发布
08-05
[毕业设计]Java轻量级即时通讯客户端设计与开发(源代码+论文)
预算申购单-账簿凭证-采购管理.xlsx
08-05
销售管理表,财务报表,占比分析,消费能力分析,日程安排,提成表,考核表 适用人群:学习不同技术领域的小白或进阶学习者;可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
python eval 执行import命令的时候报错
05-17
当您在 Python 中使用 `eval` 函数执行 `import` 命令时,可能会遇到以下错误: ``` Traceback (most recent call last): File "<string>", line 1, in ImportError: No module named 'module_name' ``` 这是...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值