eval函数的用法和危害以及避免方法

最新推荐文章于 2024-06-19 16:04:18 发布
最新推荐文章于 2024-06-19 16:04:18 发布
阅读量4.6k 收藏 5
点赞数 6
分类专栏: python 文章标签: python eval ast.literal_eval
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzhezhilu001/article/details/94397020
版权

1.eval函数及其作用

在python中,eval函数是让字符串型的list、tuple和字典转为list、tuple和dic的一个方法。

例子如下:

2.eval函数的实质

eval的语法格式如下:
eval(expression[, globals[, locals]])
expression : 字符串
globals : 变量作用域,全局命名空间,如果被提供,则必须是一个字典对象。
locals : 变量作用域,局部命名空间,如果被提供,可以是任何映射对象。

eval函数本质是在执行一系列表达式。

eval函数可以执行不同命令。

3.eval函数的危害

eval虽然方便,但是要注意安全性。eval本质是将字符串转成表达式并执行,就可以利用执行系统命令,删除文件等操作。
假设用户恶意输入。比如:
eval("__import__('os').system('ls /Users/ad/Downloads/')")1
那么eval()之后,你会发现,当前文件夹文件都会展如今用户前面。这句其实相当于执行了
os.system('ls /Users/ad/Downloads/')
那么继续输入:
eval("__import__('os').system('cat /Users/ad/Downloads/tls_asimov_cert.pem')")
代码都给人看了。
再来一条删除命令,文件消失。比如
eval("__import__('os').system('rm /Users/ad/Downloads/test.png')"

4.eval函数危害避免的方法

避免eval函数的危害可行方法是执行ast.literal_eval方法。

python关于ast.literal_eval的介绍如下:

ast.literal_eval raises an exception if the input isn't a valid Python datatype, so the code won't be executed if it's not.

也就是说,ast.literal_eval会避免危险的做法,比如:

而且,官方给的说明是:能用eval的地方(除非让eval必须执行相关命令),都可以用ast.literal_eval方法。

王者之路001
关注
专栏目录
python 为什么说eval要慎用
pyjishu的博客
04-08 860
这篇文章主要介绍python 为什么说eval要慎用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。 In [1]: eval("2+3") Out[1]: 5 In [2]: eval('[x for x in range(9)]') Out[2]: [0, 1, 2, 3, 4, 5, 6, 7, 8] 当内...
eval 函数非常危险
superkrissV的专栏
12-12 1119
在一个真实的系统中,会有各种各样强大的类,传递给 `eval` 的字符串可以实例化和调用这些类。这可能造成永无止境的破坏。
eval功能和缺点
chenxiaodage的博客
01-29 1396
eval功能是将对应的字符串解析成js代码 缺点是不安全,消耗性能 有json字符串转换成json对象的时候可以用eval, var obj = eval('('+str+')')
eval用法
最新发布
llf000000的博客
06-19 174
evaleval
eval安全缺点
xiaoHelloWord的博客
07-17 485
1.xss攻击 2.sql注入
Pythoneval的强大与危害
时越的博客
12-24 1171
evalPython的一个内置函数,这个函数的作用是,返回传入字符串的表达式的结果。想象一下变量赋值时,将等号右边的表达式写成字符串的格式,将这个字符串作为eval的参数,eval的返回值就是这个表达式的结果。 pythoneval函数用法十分的灵活,但也十分危险,安全性是其最大的缺点。本文从灵活性和危险性两方面介绍eval。 1、强大之处 举几个例子感受一下,字符串与list、tuple、dict的转化。 a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]" b = e
【6】基础知识类---eval函数及其安全性问题
shlleylu的博客
10-30 1367
eval()函数及其安全性问题 1.主要用途 a. 类型转换:字符串转为列表、字典、元组 b. 做计算器使用 # 举例1:类型转换:字符串转为列表、字典、元组 mylist = '[1,2,3,4,[5,6,7,8,9]]' mydict = "{'a':123,'b':456,'c':789}" mytuple = '([1,3,5],[5,6,7,8,9],[123,456,789])'...
eval函数及其引发的思考
最好的时光里
09-09 885
前言   小编在最近的学习过程中碰到了一个eval函数,这个函数是干什么的呢?下面就与小编一起探索一下吧 定义及用法   eval() 函数可计算某个字符串,并执行其中的的 JavaScript 代码。 语法 eval(string) //string是必需要的。是要计算的字符串,其中含有要计算的 JavaScript 表达式或要执行的语句。   该方法只接受原始字符串作为参数,...
php中eval函数危害与正确禁用方法
01-20
php的eval函数并不是系统组件函数,因此我们在php.ini中使用disable_functions是无法禁止它的。 但是eval()对于php安全来说具有很大的杀伤力,因此一般不用的情况下为了防止类似如下的一句话木马入侵,需要...
php eval函数用法总结
12-19
- "php中eval函数危害与正确禁用方法" - "PHP eval()函数使用介绍" - "PHP中eval()函数小技巧" 这些文章深入探讨了 `eval()` 的各种用法和潜在风险,以及如何更安全地使用它。 总的来说,虽然 `eval()` 在特定...
Python eval() 函数看这里就够了
热门推荐
127.0.0.1的博客
10-31 7万+
eval函数Python中具有非常重要的地位,熟练的使用eval函数能够为我们的Python编程提供很多的便利之处。在本文中我将详细记录eval函数Python中的使用方法及它带来便利时带来的一些其他危害,希望您阅读完本文后能够有所收获。欢迎在文章下方留言共同交流学习。
浅谈Pythoneval的强大与危害
01-01
pythoneval函数用法十分的灵活,但也十分危险,安全性是其最大的缺点。本文从灵活性和危险性两方面介绍eval。 1、强大之处 举几个例子感受一下,字符串与list、tuple、dict的转化。 a = [[1,2], [3,4], [5,6], ...
eval会存在安全隐患
yigeng3663的博客
06-03 862
可以使用ast.literal_eval 代替
python建议:警惕eval函数的安全漏洞
Neo
11-22 1万+
如果你了解JavaScript或者PHP等,那么你一定对eval()所有了解。如果你并没有接触过也没关系,eva()l函数的使用非常简单。 >>> eval("1+1==2") #进行判断 True >>> eval("'a'+'b'") #字符连接 'ab' >>> eval("4+5") #数字相加 9 >...
Python:eval的妙用和慎用
北慕的博客
03-12 2万+
目录   前言: 妙用: 慎用 安全”使用eval 总结 前言: eval()函数十分强大,官方demo解释为:将字符串str当成有效的表达式来求值并返回计算结果。 妙用: so,结合math当成一个计算器很好用。 其他用法,可以把list,tuple,dict和string相互转化。见下例子: a = "[[1,2], [3,4], [5,6], [7,8], [9,0...
python函数eval的使用与利弊
u011983560的博客
05-09 884
描述 eval()函数实现将字符串转换为等价的可执行命令,执行一个字符串表达式,并返回表达式的值。 语法 eval(expression[,globals[,locals]]) expression–表达式 globals–变量作用域,全局命名空间 locals–变量作用域,局部命名空间 应用 eval('3+4') #实现计算3+4运算,返回结果7 eval("{'name':'Tom','age':age}") #将字符串转换为字典,返回值为字典数据 age=10 eval("{'name':'Tom'
Python的进阶
weixin_53653055的博客
11-26 1465
判断与循环 判断语言if/elif/else if语句 它包含了几个部分: 1.if关键字,表示这是一条判断语句 2.<condition>表示判断条件,当个条件满足时,执行<statements>中的代码,若条件不满足,则代码不会执行。 3.冒号表示代码块的开始 4.<statements>表示条件满足时,执行代码块 语法: if条件: 代码块 注意: 1.冒号必须是英文状态下 2.必须要缩进 执行流程图 ...
python eval用法
东方佑
08-11 204
eval用法
eval函数的定义为:eval(source, globals=None, locals=None, /)
公众号:风景邮递Yuan的博客
06-15 334
eval()` 函数会将 `source` 参数中的字符串作为 Python 表达式进行解析和计算,并返回计算结果。如果提供了 `globals` 和 `locals` 参数,则会在这些命名空间中执行表达式。需要注意的是,`eval()` 函数会执行任意的 Python 代码,因此在使用时需要注意安全性问题。- `globals`:可选,全局命名空间,如果被提供,则必须是一个字典对象。- `locals`:可选,局部命名空间,如果被提供,可以是任何映射对象。
jmeter函数__eval的使用方法
04-19
对于jmeter函数__eval的使用方法,我可以为您提供如下回答: __eval函数是jmeter中一个特殊的函数,它可以将字符串转换为可执行代码,以便在测试脚本中动态生成值。通常情况下,这个函数用于处理一些特殊的需求,比如在请求url中动态生成参数值,或者进行一些复杂的逻辑处理等。 使用__eval函数时,需要将需要执行的代码放在双引号中,然后将整个字符串作为__eval函数的参数传递。例如,在请求url中使用__eval函数生成参数值的语法如下: http://www.example.com/search?keyword=${__eval("hello" + "world")} 在这个例子中,__eval函数将字符串"hello"和"world"进行拼接,然后将结果作为参数值传递给请求url的keyword参数。 需要注意的是,由于__eval函数会将字符串转换为可执行代码,因此如果不小心在字符串中包含了危险的代码,可能会导致测试脚本受到攻击。因此,在使用__eval函数时一定要谨慎,并确保字符串中不包含任何可疑的代码。 希望我的回答能够帮助您解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值