Python eval 作用和风险 (string 转为dict list tuple)建议用“ast.literal_eval”

最新推荐文章于 2021-04-02 11:05:42 发布
最新推荐文章于 2021-04-02 11:05:42 发布
阅读量76 收藏
点赞数
文章标签: python
原文链接:http://www.cnblogs.com/alamZ/p/7002093.html
版权 
a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]"

b = eval(a)

print b

[[1, 2], [3, 4], [5, 6], [7, 8], [9, 0]]
[Finished in 0.2s]

a = "{1: 'a', 2: 'b'}"  
b = eval(a)
print b
print type(b)

{1: 'a', 2: 'b'}
<type 'dict'>
[Finished in 0.2s]

-----风险-------

eval强大的背后,是巨大的安全隐患!!! 比如说,用户恶意输入下面的字符串

open(r'D://filename.txt', 'r').read()

__import__('os').system('dir')

__import__('os').system('rm -rf /etc/*')

a = "__import__('os').system('dir')"  
b = eval(a)
print b
print type(b)

Volume in drive D has no label.
Volume Serial Number is 66B4-8B5C

Directory of D:\AlamTW\study\python

13/06/2017 PM 03:23 <DIR> .
13/06/2017 PM 03:23 <DIR> ..
14/03/2017 PM 05:20 1,388 20170314-1.py
01/04/2017 PM 03:20 2,180 20170401.py
16/05/2017 PM 02:47 386 20170516unittest.py
21/04/2017 AM 10:57 147 testDemo.yaml
21/04/2017 AM 11:18 525 yaml_python.py
14/03/2017 PM 01:44 <DIR> __pycache__
38 File(s) 27,575 bytes
8 Dir(s) 390,064,582,656 bytes free
0
<type 'int'>
[Finished in 0.3s]

------所以用ast.literal_eval代替----

import ast

a = "open('test.py').read()"  
# b = eval(a)
b = ast.literal_eval(a)
print b
print type(b)

ValueError: malformed string

转载于:https://www.cnblogs.com/alamZ/p/7002093.html

weixin_30845171
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python中函数 evalast.literal_eval 的区别详解
南淮北安的博客
10-05 2万+
文章目录一、eval 函数二、ast.literal_eval 函数 一、eval 函数 Python中,如果要将字符串型的 list,tuple,dict 转变成原有的类型呢 ? 这个时候你自然会想到eval eval函数在 Python 中做数据类型的转换还是很有用的。 它的作用就是把数据还原成它本身或者是能够转化成的数据类型 string 转化为 list string 转化为 tupl...
Python中函数evalast.literal_eval的区别详解
09-21
eval函数在Python中做数据类型的转换还是很有用的。它的作用就是把数据还原成它本身或者是能够转化成的数据类型。...本文将大家介绍关于Python中函数evalast.literal_eval区别的相关资料,需要的朋友可以参考下。
Pythonevalast.literal_eval区别
热门推荐
杰瑞的专栏
03-31 3万+
Python中,如果要将字符串型的list,tuple,dict转变成原有的类型呢? 这个时候你自然会想到evaleval函数在Python中做数据类型的转换还是很有用的。它的作用就是把数据还原成它本身或者是能够转化成的数据类型. string list string tuple string dict 也就是说,使用eval可以实现从元祖,列表,字典型的
python3 eval安全替代函数ast.literal_eval
whatday的专栏
10-25 5634
一、eval函数 eval()官方文档里面给出来的功能解释是:将字符串string对象转化为有效的表达式参与求值运算返回计算结果。 示例: >>> s='8*8' >>> eval(s) 64 >>> eval('2+5*4') 22 >>> x=1 >>> y=4 >>> eval...
Python 使用astliteral_eval)将字符串转为字典
weixin_43965405的博客
08-06 2059
import ast str_dict = ‘{“a”: “a1”}’ str_dict = ast.literal_eval(str_dict) str_dict {“a”: “a1”} str_dict = ‘{“b”: “b1”}’ str_dict = ast.literal_eval(str_dict) str_dict {“b”: “b1”} ...
ExprEval.rar_ExprEval_java 计算器_java表达式运算_jep-3.1.0-trial.jar_表达式
09-21
在Java编程语言中,开发一个能够解析和计算数学表达式的工具是常见的需求,"ExprEval.rar"中的"ExprEval_java 计算器"就是这样一个实现。这个程序允许用户输入类似于传统数学作业中的表达式,然后自动进行计算。它...
G729A_Eval.zip_G729A_Eval_G729a_g.729_libg729a.a
09-20
例如,Visual C++的源代码示例可以帮助理解如何在Windows平台上使用G729A库进行编解码,包括如何初始化编码器和解码器对象,如何处理输入和输出缓冲区,以及如何控制编码过程的参数。 此外,“www.pudn.com.txt”...
STM3210C-EVAL.rar_1728389_STM3210C _STM3210C-EVAL_STM3210C-EVAL_
09-23
学习和使用STM3210C-EVAL,首先需要了解STM32微控制器的基本架构和工作原理,然后熟悉评估板的硬件资源和布局,接着根据提供的代码和文档来逐步理解和编写自己的应用程序。此外,掌握基本的嵌入式系统开发环境,如...
evalast.literal_eval方法
阿牧路泽
03-08 1万+
eval() 和 ast.literal_eval()方法
python中使用eval() 和 ast.literal_eval()的区别 分类: ...
weixin_34055787的博客
05-11 500
eval函数在python中做数据类型的转换还是很有用的。它的作用就是把数据还原成它本身或者是能够转化成的数据类型。那么evalast.literal_val()的区别是什么呢?eval在做计算前并不知道需要转化的内容是不是合法的(安全的)python数据类型。只是在调用函数的时候去计算。如果被计算的内容不是合法的python类型就会抛出异常。ast.literal则会判断需要计算的内容计算...
Python:如何将字符串作为变量名
在窗口仰望
08-30 1万+
版权声明:非技术文章禁止转载,如有需要请私信作者。技术类文章欢迎转载,转载请注明出处: http://blog.csdn.net/ztf312/ 一共三种方法: [python] view plain copy  print? >>> var = "This is a string"   >>> varName = 'var'  
python中强大但又危险的eval,可将字符串转函数并执行
qq_32743235的博客
09-06 1148
eval函数的危险性以及如何设置白名单进行规避风险,但是白名单设置复杂,相关内容参考 https://segmentfault.com/a/1190000011532358 其他方式如何规避: 一般情况,可以使用ast.literal_eval()函数是可以代替eval()。但是ast.literal_eval()在将字符串转成函数进行调用时,很可能会报错。可以使用 声明:以下纯属个...
python中的eval函数可以实现字符串与listtupledict进行转化
qq_41051690的博客
08-30 589
1、直接代码举例说明: # coding:utf-8; s = input() print(type(s)) s1 = eval(s) print(type(s1)) print(s1) 2、输出结果: 此处:输出[“a”,“ab”,“abc”,“cd”,“bcd”,“abcd”],由于input函数输入的字符串,不便于之后的操作。 接下来就是实现字符串与list的之间的转换,元组与字典类似于...
python eval函数的安全替换品ast.literal_eval
zoulonglong的博客
06-04 5123
我们知道,要将一个字符串转换成对应的python类型可以使用eval()函数,但是这个函数有一定的安全漏洞(详细请参阅博客pythoneval函数的使用及安全性问题),容易被不法人员利用,因此python中出了一个安全处理方式ast.literal_eval(),先看下Stack Overflow和Python官网上对这个函数的解释Stack OverflowPython 简单点说ast模块就是...
内置函数eval及安全处理方式ast.literal_eval
Yunwubanjian的博客
04-25 1390
内置函数 eval() 及安全处理方式ast.literal_eval() 1.eval() 功能:将字符串str当成有效的表达式来求值并返回计算结果。 eval()官方文档里面给出来的功能解释是:将字符串string对象转化为有效的表达式参与求值运算返回计算结果 语法上:调用的是:eval(expression,globals=None, locals=None)返回的是计算结果 其中...
Python 函数 evalast.literal_eval 的区别详解
Shallow的博客
04-02 1414
一、eval函数 eval()官方文档里面给出来的功能解释是:将字符串string对象转化为有效的表达式参与求值运算返回计算结果 实例: >>> s='8*8' >>> eval(s) 64 >>> eval('2+5*4') 22 >>> x=1 >>> y=4 >>> eval('x+y') 5 >>> eval('98.9') 98.9 >>> eval('9
Pythoneval带来的潜在风险
Exploit的小站~
08-05 7770
0x00 前言evalPython用于执行python表达式的一个内置函数,使用eval,可以很方便的将字符串动态执行。比如下列代码:>>> eval("1+2") 3 >>> eval("[x for x in range(10)]") [0, 1, 2, 3, 4, 5, 6, 7, 8, 9]当内存中的内置模块含有os的话,eval同样可以做到命令执行:>>> import os >>> e
Pythoneval函数的作用
yanglangdan的博客
06-24 6377
val函数就是实现listdicttuple,int 与str之间的转化,## 字符串里面包裹什么,就会相应的转换成什么 str函数把listdicttuple转为为字符串 # 字符串转换成列表 a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]" print(type(a)) b = eval(a) print(b) # 字符串转换成字典 a ...
pythonast.literal_eval的用法
最新发布
08-05
总之,ast.literal_eval是一个非常有用的函数,它提供了一种安全且简便的方法来评估字符串类型的Python表达式,帮助我们在处理可信和不可信的Python代码时,减少潜在的安全风险。 ### 回答3: ast.literal_eval是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值