python禁用内置函数,Python eval:如果我禁用内置函数和属性访问,这仍然很危险吗?...

最新推荐文章于 2024-08-19 18:52:10 发布
最新推荐文章于 2024-08-19 18:52:10 发布
阅读量173 收藏
点赞数
文章标签: python禁用内置函数

We all know that eval is dangerous, even if you hide dangerous functions, because you can use Python's introspection features to dig down into things and re-extract them. For example, even if you delete __builtins__, you can retrieve them with

[c for c in ().__class__.__base__.__subclasses__()

if c.__name__ == 'catch_warnings'][0]()._module.__builtins__

However, every example I've seen of this uses attribute access. What if I disable all builtins, and disable attribute access (by tokenizing the input with a Python tokenizer and rejecting it if it has an attribute access token)?

And before you ask, no, for my use-case, I do not need either of these, so it isn't too crippling.

What I'm trying to do is make SymPy's sympify function more safe. Currently it tokenizes the input, does some transformations on it, and evals it in a namespace. But it's unsafe because it allows attribute access (even though it really doesn't need it).

解决方案

I'm going to mention one of the new features of Python 3.6 - f-strings.

They can evaluate expressions,

>>> eval('f"{().__class__.__base__}"', {'__builtins__': None}, {})

""

but the attribute access won't be detected by Python's tokenizer:

0,0-0,0: ENCODING 'utf-8'

1,0-1,1: ERRORTOKEN "'"

1,1-1,27: STRING 'f"{().__class__.__base__}"'

2,0-2,0: ENDMARKER ''

weixin_39759441
关注
Python内置函数手册》Python老吕编著
Python老吕的博客
08-18 669
Python是一种高级的、解释型的编程语言,以其清晰的语法和代码可读性而受到广泛欢迎。Python内置函数Python语言核心的一部分,它们不需要导入任何模块即可直接使用。这些函数覆盖了从基本的数学运算到复杂的文件操作等多种功能,极大地方便了程序员的日常工作。数学运算:提供基本的算术运算、幂运算、对数和三角函数等。类型转换:允许在不同的数据类型之间进行转换,如将字符串转换为整数。序列操作:对列表、元组、字典和集合等数据结构进行操作。文件和I/O操作:处理文件的读写和标准输入输出。字符串处理。
Python内置函数compile()——《Python内置函数手册》Python老吕编著
Python老吕的博客
08-18 358
compile()函数是Python中用于编译源代码的内置函数。它可以将字符串或文件中的Python代码编译成字节码,这些字节码可以由Python解释器执行。compile()source:要编译的源代码字符串或代码对象。filename:表示源代码来源的文件名或其它描述。mode:编译模式,可以是'exec''eval'或'single'。flags:控制编译行为的标志位。:是否继承当前环境的__future__语句。optimize:优化级别。使用compile()
python 为什么说eval要慎用
pyjishu的博客
04-08 878
这篇文章主要介绍了python 为什么说eval要慎用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。 In [1]: eval("2+3") Out[1]: 5 In [2]: eval('[x for x in range(9)]') Out[2]: [0, 1, 2, 3, 4, 5, 6, 7, 8] 当内...
python禁用内置函数,python基础十八内置函数
weixin_34835470的博客
03-26 321
python基础十八 内置函数内置函数1. 含义python帮助我们写了很多的功能供使用2. 了解函数all() any() bytes() callable() chr() complex() divmod() eval() exec() frozenset() globals() hash() help() id() input() int() iter() locals() next(...
Python:禁止调用函数——以禁止调用help()为例
Fan_shine的博客
11-04 302
Python:禁止调用函数——以禁止调用help()为例
禁用eval,并且输入的是字符串类型,如何使用python编写一个 计算器
mingri_xing的博客
07-12 751
要求:禁止使用eval命令,让用户输入字符串,实现加减乘除加上括号的运算:下面是自己写的代码:# -*- coding:utf-8 -*- import re def jia_jian_cheng_chu(s): m1_g = [ re.search('[+\-]?\d+\.?\d*[*/]\-?\d+\.?\d*', s).group() if re.search('[+\-]?\d+\...
功能强大,但因安全隐患被企业禁用Python内置函数
weixin_43790276的博客
01-02 7940
强大与危险并存。
python内置函数
Demondai999的博客
07-26 3730
python内置函数大全
Python内置函数exec()——《Python内置函数手册》Python老吕编著
最新发布
Python老吕的博客
08-19 449
exec()是Python中用于动态执行代码的内置函数。它可以执行存储在字符串或文件中的Python代码,这使得程序能够在运行时改变其逻辑或行为。使用exec()时,可以指定代码执行的全局和局部命名空间,这允许开发者控制代码执行的环境。然而,使用exec()也需要谨慎,因为它可能会带来安全风险,特别是当执行不受信任的代码时。exec()object:要执行的代码对象,通常是字符串或代码对象。globals:一个字典,用作执行代码时的全局命名空间。locals:一个字典,用作执行代码时的局部命名空间。
Pythoneval带来的潜在风险代码分析
12-23
Python中的`eval`函数是一个强大的内置工具,它能够解析并执行Python表达式。然而,它的便利性也带来了显著的安全风险,因为任何不受限制的`eval`调用都可能导致恶意代码被执行。在描述中,提到了如何使用`eval`执行...
Python 禁止函数修改列表
weixin_45609187的博客
02-29 353
目的:既要讲原有列表中的元素复制到新列表中,又要保留原有列表中的元素 方法:向函数传递列表的副本而不是原件 要将列表的副本传递给函数,做法: function_name( list_Name [ : ] ) 切片表示法[ : ]创建列表的副本 示例: 图中划线处为用法 结果: ...
Python 禁止函数修改列表
时越的博客
09-06 261
创建副本方式: function_name(list_name[:]) def make_great(magicians): # 对列表修改的函数 magicians.pop() # 删除原列表中的元素 return magicians magicians = ['tom', 'jack', 'marry'] # 创建魔术师列表 new_magicians = [] # 用于保存修改后的列表元素 print(make_great(magicians[:])) # ['tom'
Python 访问限制
qq_43712409的博客
06-27 184
在Class内部,可以有属性和方法,而外部代码可以通过直接调用实例变量的方法来操作数据,这样,就隐藏了内部的复杂逻辑。 但是,从前面 Student 类的定义来看,外部代码还是可以自由地修改一个实例的 name、score 属性: >>> bart = Student('Bart Simpson', 59) >>> bart.score 59 >>> bart.score = 99 >>> bart.score 99 如果要让内部属性
python ast代码检查,禁止导入危险函数包
彦文的专栏
12-04 560
import ast class CheckFun(ast.NodeVisitor): def __init__(self): super().__init__() self.ban_moudel = [ "os", "sys", "socket", "multiprocessing", "requests", ]
python 禁止函数修改列表的实现方法
python函数学习教程
03-04 3283
下面小编就为大家带来一篇python 禁止函数修改列表的实现方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧 有时候,需要禁止函数修改列表。例如要对裂变进行修改操作,也要保留原来的未打印的设计列表,以供备案。为解决这个问题,可向函数传递列表的副本而不是原件;这样函数所做的任何修改都只影响副本,而丝毫不影响原件 function_name(list_name[:])...
Python eval()函数
anddyhua's Cookbook
05-04 575
eval(source[, globals[, locals]]) -> value   功能:将字符串str当成有效的表达式来求值并返回计算结果。   参数:     source:一个Python表达式或函数compile()返回的代码对象     globals:可选。必须是dictionary     locals:可选。任意map对象      说白了就是他可以让把字符串转化成真正python支持操作,打比方 eval(“import(‘os’).system(‘ls’)”) eval(“i
Python 不要滥用eval()函数
平人的博客
11-12 694
在开发时不能使用eval直接转换input的结果。 使用eval时 输入 __import__('os').system('终端命令') 等价于 import os os.syestem(终端命令) 当你使用eval转换input输入的结果时,输入端可以直接输入系统命令对系统进行操作甚至修改文件。 ...
python建议:警惕eval函数的安全漏洞
热门推荐
Neo
11-22 1万+
如果你了解JavaScript或者PHP等,那么你一定对eval()所有了解。如果你并没有接触过也没关系,eva()l函数的使用非常简单。 >>> eval("1+1==2") #进行判断 True >>> eval("'a'+'b'") #字符连接 'ab' >>> eval("4+5") #数字相加 9 >...
python 禁用函数
06-06
Python中,有些函数是可以被禁用的。这些函数通常是一些有安全风险、有副作用、或者有潜在危险的函数,例如 eval() 函数和 exec() 函数等。 禁用函数的方法有多种,其中比较常见的是使用 ast 模块来对代码进行语法解析和操作,从而达到禁用某些函数的目的。使用 ast 模块可以将代码解析为抽象语法树(AST),然后通过遍历和修改这棵树来实现禁用目标函数。 另外,还可以使用装饰器来实现禁用函数的功能。例如,可以定义一个 @disabled 装饰器,将希望禁用的函数标记为被装饰的函数,并在函数调用时判断该函数是否被标记,并抛出异常来禁止使用。 需要注意的是,在禁用函数时应该考虑到其对其他功能的影响,并谨慎地操作,以避免出现意外的问题。禁用函数应该是一种保护代码安全的手段,而不是一种滥用或限制语言功能的手段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值