我的任务是构建一个应用程序,在该应用程序中最终用户可以使用自定义规则来评估返回的查询是警告还是警报(基于自己的阈值)。
我为用户建立了逻辑模板的方法。一个示例如下所示:
if (abs(<<21>>) >= abs(<<22>>)):
retVal = <<21>>
else:
retVal = <<22>>
的<<21>>和<<22>>参数将与前面在该程序中找到的值来代替。一旦发生所有这种替换,我就有一个非常简单的if /
else块(在此示例中),看起来像这样存储在变量(execCd)中:
if (abs(22.0) >= abs(-162.0)):
retVal = 22.0
else:
retVal = -162.0
这将exec()正确。现在,我该如何确保呢?我看了这篇文章:http
:
//lybniz2.sourceforge.net/safeeval.html
我的代码最终看起来像这样:
safe_list = ['math','acos', 'asin', 'atan', 'atan2', 'ceil', 'cos', 'cosh', 'de grees', 'e', 'exp', 'fabs', 'floor', 'fmod', 'frexp', 'hypot', 'ldexp', 'log', 'log10', 'modf', 'pi', 'pow', 'radians', 'sin', 'sinh', 'sqrt', 'tan', 'tanh']
safe_dict = dict([ (k, locals().get(k, None)) for k in safe_list ])
safe_dict['abs'] = abs
exec(execCd,{"__builtins__":None},safe_dict)
但是,当我拥有第二个和第三个参数但此异常时,exec失败- NameError: name 'retVal' is not defined
最终用户拥有的一些自定义逻辑是广泛的,并且其中的许多逻辑是定期更改的。我不想维护其自定义逻辑,最终用户希望能够快速测试各种警告/警报阈值逻辑。
如何从不安全(有意或无意)代码保护此exec语句?