我正在尝试在python中设置客户端和服务器,以便客户端发送一些代码,服务器执行并处理它,然后将输出发送回去.我可以使用命令exec执行服务器上收到的代码,但是每当尝试执行以下操作:var = exec“ print’word’”,这将不起作用,并会因语法错误而失败;而当我运行未设置为变量的相同命令时,它会完美运行.我正在使用python2.7
解决方法:
别. Eval和Exec的信任输入非常接近dangerous,没有合理的方法来确保它们的安全:
从不受信任的输入中使用eval或exec意味着您可以获得以下查询:
eval("os.system('clear')", {})
使用ast.literal_eval评估安全地评估Python对象的字符串.
>>> import ast
>>> string = '{}'
>>> b = ast.literal_eval(string)
>>> b
{}
>>> type(b)
如果您可以信任输入,请使用eval.
>>> string = '{}'
>>> b = eval(string)
>>> b
{}
>>> type(b)
评估与执行的危险
为了解释为什么eval是危险的,为什么ast.literal_eval是安全的,您必须了解eval的工作原理:它只接受一个字符串,然后将输入解释为Python代码,从而实质上允许任何事情发生.
有许多方法可以使eval和exec安全,但是,都有各种解决方法.您几乎可以阻止所有事情,包括导入,内置程序等,并且仍然有人可以找到解决它的方法(请参阅上面的链接).
ast.literal_eval通过仅允许评估有效的Python数据类型(例如dict,list,tuple,None,int,string和float)来解决此问题.这可以防止任何代码的恶意执行,但是应用程序的局限性更大.但是,这种额外的安全性值得失去来自未知来源的代码的功能.
以下代码段是ast.literal_eval如何使您安全的一个很好的例子:
>>> import ast
>>> eval('__import__("os")')
>>> ast.literal_eval('__import__("os")')
Traceback (most recent call last):
File "", line 1, in
File "/usr/lib/python3.4/ast.py", line 84, in literal_eval
return _convert(node_or_string)
File "/usr/lib/python3.4/ast.py", line 83, in _convert
raise ValueError('malformed node or string: ' + repr(node))
ValueError: malformed node or string: <_ast.Call object at 0x7f68e03db2e8>
在这种情况下,Eval允许直接执行代码,从而允许访问os模块,从而允许访问可能擦除驱动器的系统任务,而ast.literal_eval则引发错误,因为它不是可识别的数据类型.
标签:python
来源: https://codeday.me/bug/20191119/2034902.html