python yaml库:safe_load()(安全解析函数,解析yaml)(防止yaml文件中包含恶意代码)

于 2024-04-18 10:00:00 发布
阅读量972 收藏 30
点赞数 25
文章标签: python 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangluoanquan111/article/details/137892112
版权
本文介绍了Python中的YAML格式及其安全加载函数safe_load。safe_load用于防止执行恶意代码,尤其在处理不可信的YAML文档时更为安全。文章还展示了如何使用safe_load解析YAML文件,并讨论了与load函数的区别。
摘要由CSDN通过智能技术生成
文章目录
  • Python YAML: 使用 safe_load 进行安全解析
  • * 什么是 safe_load?
    • 如何使用 safe_load?
    • 为什么选择 safe_load 而非 load?

Python YAML: 使用 safe_load 进行安全解析

YAML (YAML Ain’t Markup Language)
是一种人类可读的数据序列化标准。它被广泛用于配置文件、多语言环境、交互式应用等场合。Python 为 YAML 提供了强大的支持,其中包括一个安全的加载函数
safe_load

什么是 safe_load?

safe_load 是 PyYAML 库中的一个函数,用于安全地解析 YAML 文档。它的主要优点是可以防止执行任意 Python 代码,这是因为原始的
load 函数会处理 YAML 文档中的所有数据,包括 Python 对象和函数。如果一个 YAML 文档被设计为包含恶意代码,使用 load
函数可能会导致系统安全风险。

import yaml

# 使用 safe_load 解析 YAML
data = """
a: 1
b: 2
"""
parsed = yaml.safe_load(data)
print(parsed)  # 输出: {'a': 1, 'b': 2}

如何使用 safe_load?

以下是一个使用 safe_load 的基本示例:

import yaml

with open("config.yaml", 'r') as stream:
    try:
        config = yaml.safe_load(stream)
    except yaml.YAMLError as exc:
        print(exc)

在这个示例中,首先导入了 yaml 模块。然后打开一个名为 “config.yaml” 的文件,并尝试使用 safe_load
函数进行解析。如果解析过程中出现任何错误,都会捕获并打印出来。

为什么选择 safe_load 而非 load?

在处理 YAML 数据时,可能会看到两种加载函数:loadsafe_load。尽管 load
可以处理更多的数据类型,但它也有一些安全隐患。

YAML 文档可以包含表示 Python 对象和函数的数据。当使用 load 函数解析这样的文档时,这些对象和函数会被实例化和执行。这意味着,如果
YAML 文档包含恶意代码,那么 load 函数就可能会执行它。

例如,一个恶意的 YAML 文档可能包含以下内容:

!!python/object/apply:os.system ["rm -rf /"]

如果用 load 函数解析这个文档,它将会尝试执行 os.system("rm -rf /"),这个命令会删除系统上的所有文件,这是非常危险的。

safe_load 函数不会处理这些复杂的 YAML 标记,所以即使加载了这样的文档,也不会有任何影响。这就是为什么在处理不可信的 YAML
文档时,总是推荐使用 safe_load 的原因。

除非已知 YAML 文档来自可信的源,并且需要处理的数据类型超出了 safe_load 所能处理的范围,才推荐使用load 函数。

ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ
‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ
‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ
‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ
‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ
‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ
‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ
‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ
‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ
‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ
‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ
‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ
‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍
ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ
‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ ‌‍ᅟᅠ

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

立志成为网安大牛
关注
  • 25
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python使用pyyaml模块处理yaml数据
01-21
pyyaml模块在python用于处理yaml格式数据,主要使用yaml.safe_dump()、yaml.safe_load()函数python值和yaml格式数据相互转换。当然也存在yaml.dump()、yaml.load()函数,同样能实现数据转换功能,只是官方不太推荐使用。官方给出的解释,因为yaml.safe_dump()、yaml.safe_load() 能够: Resolve only basic YAML tags. This is known to be safe for untrusted input. 如果想对一个yaml文件的多块yaml数据进行转换操作,则
python解析yaml文件过程详解
09-18
在这个例子,`with open('test.yaml', 'r') as f:`语句打开并读取名为`test.yaml`的文件,`yaml.safe_load(f)`将YAML内容转换为Python对象。这里的`data`变量将包含解析后的数据结构。 4. 示例代码解析: 给定...
yaml配置文件组织方式和不同的读取方式
野路子云遇见不同的自己
06-28 223
with open('./learn.yaml','r',encoding='utf8') as file:#utf8可识别文。with open('./learn.yaml','r',encoding='utf8') as file:#utf8可识别文。with open('./learn.yaml','r',encoding='utf8') as file:#utf8可识别文。单引号的特殊字符转到python会被转义,双引号不会被转义,最后输出的是特殊字符。在yaml文件输入。
Pythonyaml.safe_load()函数详解和示例
最新发布
不定时分享,互相学习,共同进步
11-30 2750
Python,PyYAML提供了对YAMLYAML Ain’t Markup Language)文件的强大支持。YAML是一种直观的数据序列化标准,可以方便地存储和加载配置文件、数据日志等。yaml.safe_loadyaml.loadPython的PyYAML提供的两个函数,用于从YAML格式的文件加载数据。现在大多数代码使用的都是,因此本文对其进行详解和示例。
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 565
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
python通过PyYaml操作yaml文件
ben_na_的博客
04-10 1454
1、YAML文件介绍 YAML全称YAML Aint't a Markup Language(YAML不是一种标记语言),是一种易读的序列化语言 通常应用在一些数据代码分离的场合,比如配置文件 2、Python读取、存储数据到YAML python的PyYaml模块是PythonYAML解析器和生成器 读取YAML文件 def read_yaml(): with open(path, "r", encoding="utf-8") as f: result = f.read()
解析yml、yaml的工具类文件
04-27
在这个例子,`config.yaml`是包含YAML数据的文件,`yaml.load(inputStream)`会将YAML内容解析成一个Java对象,可以是Map、List或者其他类型,具体取决于YAML文档的内容。 总结来说,"解析yml、yaml的工具类文件...
Python基于yaml文件配置logging日志过程解析
09-16
在本例,我们通过`yaml.load()`函数读取`yaml`文件内容,并将其转化为字典。`yaml`文件通常用于存储结构化的配置信息,其语法简洁明了,易于阅读和编辑。下面是一个简单的`yaml`配置文件示例: ```yaml version: ...
Python自动化测试yaml文件读取操作
09-16
注意,对于较新的`pyyaml`版本,为了安全起见,推荐使用`yaml.safe_load()`代替`yaml.load()`。 下面是一个简单的读取yaml文件Python代码示例: ```python import yaml yaml_path = "your_file_path.yaml" with...
Python3操作YAML文件格式方法解析
09-17
- 使用`yaml.load()`或`yaml.safe_load()`函数读取YAML文件或字符串,将YAML数据转化为Python字典。如果YAML文件包含文,需要处理编码,如使用`open(filename, encoding='utf-8')`打开文件,或者在加载字符串时...
Python读取yaml文件的详细教程
09-16
data = yaml.safe_load(f) print(data) ``` 这将读取名为`example.yaml`的文件,并将内容解析Python对象。 总结,Python通过PyYAML可以方便地读取和解析YAML文件,利用其简洁的语法和强大的数据表示能力,...
pythonyaml配置文件模块的使用详解
09-20
使用Python的`open()`函数打开YAML文件,然后调用`yaml.load()`方法来解析文件内容。例如: ```python import yaml with open('yaml_example.yaml') as f: content = yaml.safe_load(f) ``` `yaml.safe_load...
详解Python读取yaml文件多层菜单
09-19
data = yaml.safe_load(f) # 解析数据 province_dict = data['provinces'] # 输出省份 for i, province in enumerate(province_dict, 1): print(f'{i}. {province["name"]}') # 用户选择省份 province_choice =...
shell脚本解析yaml文件变量工具
09-08
原文:https://editor.csdn.net/md/?articleId=120167145
python3 对yaml文件的操作
anonymous的博客
01-26 995
一. yaml读取和写入的方法 主要用到yaml.safe_load()、yaml.safe_dump()函数进行读写操作。yaml.safe_load()读入的返回是字典,yaml.safe_dump()传入到参数也是字典。 二.具体实现 1.pyaml.py #!/usr/bin/python3
python之pyyaml模块
08-21 460
pyyaml模块在python用于处理yaml格式数据,主要使用yaml.safe_dump()、yaml.safe_load()函数python值和yaml格式数据相互转换。当然也存在yaml.dump()、yaml.load()函数,同样能实现数据转换功能,只是官方不太推荐使用。官方给出的解释,因为yaml.safe_dump()、yaml.safe_load() 能够: ...
with open("test_addition.yml", "r") as f: test_cases = yaml.safe_load(f)
06-07
这段代码是读取名为 `test_addition.yml` 的 YAML 文件并将其转换为 Python 对象 `test_cases`。假设 `test_addition.yml` 文件包含一系列的加法测试用例,格式如下: ```yaml - name: test_case_1 input: a: 1 b: 2 expected_output: 3 - name: test_case_2 input: a: 10 b: 20 expected_output: 30 - name: test_case_3 input: a: -5 b: 5 expected_output: 0 ``` 以上 YAML 文件包含了三个加法测试用例,每个测试用例都包含一个名称、输入和预期输出。通过 `yaml.safe_load(f)` 将其转换为 Python 对象后,可以在 Python 方便地处理这些测试用例,例如: ```python import yaml with open("test_addition.yml", "r") as f: test_cases = yaml.safe_load(f) for test_case in test_cases: a = test_case["input"]["a"] b = test_case["input"]["b"] expected_output = test_case["expected_output"] actual_output = a + b if actual_output == expected_output: print(f"{test_case['name']} passed") else: print(f"{test_case['name']} failed: expected {expected_output}, but got {actual_output}") ``` 以上代码将读取 `test_addition.yml` 文件的测试用例,然后逐个执行这些测试用例,并将执行结果输出到控制台。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值