我的任务是构建一个应用程序,在这个应用程序中,最终用户可以使用自定义规则来评估返回的查询是否会导致警告或警报(基于自己的阈值)。
我已经为用户建立了一种模板化逻辑的方法。一个例子如下:if (abs(<<21>>) >= abs(<<22>>)):
retVal = <<21>>
else:
retVal = <<22>>
<<21>>和<<22>>参数将替换为程序中前面找到的值。一旦所有这些替换发生,我就有一个非常简单的if/else块(在本例中),它看起来像是存储在变量(execCd)中的:if (abs(22.0) >= abs(-162.0)):
retVal = 22.0
else:
retVal = -162.0
我的代码看起来是这样的:safe_list = ['math','acos', 'asin', 'atan', 'atan2', 'ceil', 'cos', 'cosh', 'de grees', 'e', 'exp', 'fabs', 'floor', 'fmod', 'frexp', 'hypot', 'ldexp', 'log', 'log10', 'modf', 'pi', 'pow', 'radians', 'sin', 'sinh', 'sqrt', 'tan', 'tanh']
safe_dict = dict([ (k, locals().get(k, None)) for k in safe_list ])
safe_dict['abs'] = abs
exec(execCd,{"__builtins__":None},safe_dict)
但是,当我有第二个和第三个参数时,exec失败,出现此异常-NameError: name 'retVal' is not defined
最终用户拥有的一些自定义逻辑是广泛的,而且这些逻辑中的许多都是在相当定期的基础上进行更改的。我不想维护他们的自定义逻辑,最终用户希望能够快速测试各种警告/警报阈值逻辑。
如何保护此exec语句不受不安全(有意或无意)代码的影响?