Python Eval 函数的安全使用的小方法

最新推荐文章于 2024-05-06 00:08:33 发布
最新推荐文章于 2024-05-06 00:08:33 发布
阅读量557 收藏
点赞数
文章标签: python fastapi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011843342/article/details/127350193
版权

Eval可以用来转换String表达式到具体的表达式

配一些动态规则等,eval会用的比较多,但eval安全性比较低,容易被执行恶意代码。

例如下面的代码执行结果

 对应的FastAPI如下:

@app.get("/")
async def root():
    try:
     ast_res = eval("__import__('os').system('dir /b')")
    except Exception as e:
        logger.error(e)
        return {"code":"0x5",
                "message": str(e)
                }
    return {"message": ast_res}

dir /b命令被成功执行了...

之所以能被执行,是因为eval可以访问内置函数,也就是__import__方法,import了os并执行了命令。

 globals是没法限制的,虽然说比较直接的方法是 {‘builtins’: None} ,但只能防脚本小子,也可以通过().__class__.__bases__[0].__subclasses__()执行一些恶意代码,对于稍微懂一点python底层知识的用户来说,完全没有任何阻挡效果,所以聊胜于无

那么,其实拒绝__XXXX__并且给一些比较危险的方法上黑名单就好了。

所以很简单用正则匹配就好了,但不要直接匹配表达式。

def my_safe_eval(string,dict) :
    code = compile(string,'<user input>','eval')
    reason = None
    banned = ('eval','compile','exec','getattr','hasattr','setattr','delattr',
            'classmethod','globals','help','input','isinstance','issubclass','locals',
            'open','print','property','staticmethod','vars')
    for name in code.co_names:
        if re.search(r'^__\S*__$',name):
            reason = 'dunder attributes not allowed'
        elif name in banned:
            reason = 'arbitrary code execution not allowed'
        if reason:
            raise NameError(f'{name} not allowed : {reason}')
    return eval(code,dict)

原理:co_names过滤

 

其实目前发现有Evalidate库,但好像对很多表达式解析不好,不过也很强大

还有基于ast的,但是限制也比较多

总而言之上面是比较完善的一种方法,当然没有万无一失的策略。还是最好从根源限制能访问eval的用户,确保是可信的。

参考:A simple, kind-of "safe" eval ? : learnpython (reddit.com)

奋斗的烧饵块
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
eval 函数非常危险
superkrissV的专栏
12-12 1038
在一个真实的系统中,会有各种各样强大的类,传递给 `eval` 的字符串可以实例化和调用这些类。这可能造成永无止境的破坏。
python函数eval使用与利弊
12-20
函数实现将字符串转换为等价的可执行命令,执行一个字符串表达式,并返回表达式的值。 语法 eval(expression[,globals[,locals]]) expression–表达式 globals–变量作用域,全局命名空间 locals–变量作用...
ctf (easy_eval)
Glacier_Mount的博客
07-02 1677
反序列化、redis
爬虫字体反爬的解决(一)
Mr.Fu的博客
05-06 1525
学习了前边的爬虫知识,大家一定爬取过很多的网站了,也一定被很多网站的各式各样的反爬机制劝退过,那么这些反爬机制如何来破解,大家也一定想破了头,本节课,我们来搞点不同寻常的有深度的事情——破解字体反爬!大家看目录,发现我把字体反爬分了多个章节,可想而知字体反爬的“困难程度”,但是不要紧,我们会把目前的字体反爬技术一一给大家讲解!
Python开发常见漏洞
kelxLZ的博客
12-29 3079
Author:ZERO-A-ONE Date:2020-12-29 一、危险函数 每个语言都有一些使用要特别小心的危险函数,这里例举Python的三个危险函数eval(), exec() 和input(),不恰当的使用它们可能会引起认证绕过甚至是代码注入 1.1 eval eval函数接受字符串并将字符串当作代码执行,比如: eval('1+1') 会返回2,所以eval函数可以用来在系统上执行任意代码 我们来看个例子: def addition(a, b): return eval("%s .
Python基础入门(2):简单函数(input,eval,print)与循环结构
weixin_72174334的博客
11-06 2692
①:print(str(a)+str(b)+str(c)) #str()将整数、实数等转换为字符串, + 将它们连接起来。例如,语句 y=eval(input())执行后,如果从键盘输入 3+4,则变量y的结果是7。eval()和input()函数配合起来可以实现从键盘输入一个算式并计算算式的结果。例如,eval('3+4')的结果为7,如果有一个字符串变量x="3.1416。print("数学%d 语文%d 计算机%d" % (97,98,99))函数int()的是将括号内的数据类型转换为整数。
pythoneval 函数使用
Qiang的博客
03-07 1696
eval() 函数用来执行一个字符串表达式,并返回表达式的值 举一个代码随想录里一个解答的例子: second_num = 1 item = + first_num = 2 int(eval(f'{second_num} {item} {first_num}')) # 等价于本1 + 2 其中, 格式化字符串常量(formatted string literals)是 Python 3.6 新引入的一种字符串格式化方法,主要目的是使格式化字符串的操作更加简便。 f-string在形式上是以 f 或者 F
Python eval的用法及注意事项
q1744543107的博客
05-12 390
evalPython的一个内置函数,这个函数的作用是,返回传入字符串的表达式的结果。想象一下变量赋值时,将等号右边的表达式写成字符串的格式,将这个字符串作为eval的参数,eval的返回值就是这个表达式的结果。pythoneval函数的用法十分的灵活,但也十分危险,安全性是其最大的缺点。本文从灵活性和危险性两方面介绍eval
python eval 安全_Pythoneval带来的潜在风险
weixin_39870092的博客
12-10 432
0x00 前言evalPython用于执行python表达式的一个内置函数使用eval,可以很方便的将字符串动态执行。比如下列代码:>>>eval("1+2")>>>eval("[xforxinrange(10)]")[0,1,2,3,4,5,6,7,8,9]当内存中的内置模块含有os的话,eval同样可以做到命令执行:>...
python3中eval函数用法使用简介
09-18
主要介绍了python3中eval函数用法使用简介,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Python eval函数介绍及用法
12-16
我们之前跟大家描述了在Python里面一些函数的不同使用,以及一些函数的潜藏使用技巧,可是大家有没有听说过,有一个函数一直被誉为最神奇的函数,神奇的地方在哪里?到底怎么神奇?请看下文。 关于eval(): 将字符...
Python eval函数原理及用法解析
12-16
eval函数就是实现list、dict、tuple与str之间的转化 str函数把list,dict,tuple转为为字符串 一、字符串转换成列表 a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]" print(type(a)) b = eval(a)print(type(b)...
功能强大,但因安全隐患被企业禁用的Python内置函数
weixin_43790276的博客
01-02 7696
强大与危险并存。
python建议:警惕eval函数安全漏洞
热门推荐
Neo
11-22 1万+
如果你了解JavaScript或者PHP等,那么你一定对eval()所有了解。如果你并没有接触过也没关系,eva()l函数使用非常简单。 >>> eval("1+1==2") #进行判断 True >>> eval("'a'+'b'") #字符连接 'ab' >>> eval("4+5") #数字相加 9 >...
python安全eval执行一般计算
willluckysmile的博客
12-30 277
增加了对小于、大于、等于、不等于、且、或、非等判断的支持。2023/1/3更新。
Pythoneval与 exec 安全用法最佳实践
python学习者的博客
04-25 3103
Python 提供了很多内置的工具函数(Built-in Functions),今天我们一起来探索两个函数安全用法:evel() 与 exec()。 1、eval 的基本用法 由此可见,当指定了命名空间的时候,变量会在对应命名空间中查找。而且,它们的值不会覆盖实际命名空间中的值。 2、exec 的基本用法 3、一些细节辨析 两个函数都很强大,它们将字符串内容当...
第五节课《LMDeploy 量化部署 LLM 实践》
最新发布
fanre的专栏
05-06 628
PDF链接:https://pan.baidu.com/s/1JFtvBWgEGFWJq8pHafvIUg?pwd=6666提取码:6666。
【 书生·浦语大模型实战营】作业(六):Lagent & AgentLego 智能体应用搭建
专注大数据与人工智能技术分享,欢迎私信加群互相学习!
05-03 1522
本篇笔记内容主要为 【书生·浦语大模型实战营】作业(六):Lagent & AgentLego 智能体应用搭建智能体的作业 ,主要对智能体应用理论部分及具体搭建流程详细介绍,并分别进行实战应用及可视化展示,欢迎大家交流学习!
pythoneval函数
06-09
`pythoneval`函数Python内置的函数之一,它用于执行字符串中的Python表达式,并返回表达式的结果。其语法格式为: ``` pythoneval(expression[, globals[, locals]]) ``` 其中,`expression`是待执行的Python表达式,`globals`和`locals`是可选的命名空间参数,用于指定全局变量和局部变量的命名空间。如果省略了这两个参数,则默认使用当前的全局和局部命名空间。 需要注意的是,使用`pythoneval`函数来执行字符串中的Python代码存在一定的安全风险,因为该函数可以执行任意的Python代码。因此,在实际应用中,应该尽量避免使用函数,或者对输入的字符串进行严格的过滤和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值