python3 eval安全替代函数ast.literal_eval

最新推荐文章于 2023-12-02 21:12:58 发布
最新推荐文章于 2023-12-02 21:12:58 发布
阅读量5.5k 收藏 9
点赞数 2

一、eval函数

eval()官方文档里面给出来的功能解释是:将字符串string对象转化为有效的表达式参与求值运算返回计算结果。

示例:

>>> s='8*8'
>>> eval(s)
64
>>> eval('2+5*4')
22
>>> x=1
>>> y=4
>>> eval('x+y')
5
>>> eval('98.9')
98.9
>>> eval('9.9\n')
9.9
>>> eval('9.9\n\t\r  \t\r\n')
9.9

最有用的一个是eval可以将字符串转换成字典,列表,元组

>>> l = "[2,3,4,5]"
>>> ll=eval(l)
>>> ll
[2, 3, 4, 5]
>>> type(ll)
<type 'list'>
>>> d="{'name':'python','age':20}"
>>> dd=eval(d)
>>> type(dd)
<type 'dict'>
>>> dd
{'age': 20, 'name': 'python'}
>>> t='(1,2,3)'
>>> tt=eval(t)
>>> type(tt)
<type 'tuple'>
>>> tt
(1, 2, 3)

eval()函数功能强大,但也很危险,若程序中有以下语句:

s=input('please input:')
print (eval(s))

下面举几个被恶意用户使用的例子:

1、运行程序,如果用户恶意输入:

please input:__import__('os').system('ls')

eval()之后,当前目录文件都会展现在用户前面。
演示结果:

2、运行程序,如果用户恶意输入:

please input: open('xxx.py').read()

如果,当前目录中恰好有一个文件,名为data.py,则恶意用户变读取到了文件中的内容。

3、运行程序,如果用户恶意输入:

please input:__import__('os').system('del test.txt /q')

如果,当前目录中恰好有一个文件,名为test.txt,则恶意用户删除了该文件。/q :指定静音状态。不提示您确认删除。

 

二、ast.literal_eval方法

ast.literal_eval是python针对eval方法存在的安全漏洞而提出的一种安全处理方式。

简单点说ast模块就是帮助Python应用来处理抽象的语法解析的。而该模块下的literal_eval()函数:则会判断需要计算的内容计算后是不是合法的Python类型,如果是则进行运算,否则就不进行运算。

比如下面查看系统文件的操作就会被拒绝,而只会执行合法的python类型,从而大大降低了系统的危险性
 

import ast

res = ast.literal_eval('1 + 1')
print(res)
# 2

res = ast.literal_eval('[1, 2, 3, 4]')
print(type(res))
# <class 'list'>

print(res)
# [1, 2, 3, 4]


res = ast.literal_eval("__import__('os').system('ls')")
# 报错如下:
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "/Users/didi/.pyenv/versions/3.6.4/lib/python3.6/ast.py", line 85, in literal_eval
    return _convert(node_or_string)
  File "/Users/didi/.pyenv/versions/3.6.4/lib/python3.6/ast.py", line 84, in _convert
    raise ValueError('malformed node or string: ' + repr(node))
ValueError: malformed node or string: <_ast.Call object at 0x10e63ca58>

所以出于安全考虑,对字符串进行类型转换的时候,最好使用ast.literal_eval()

 

 

whatday
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python函数 evalast.literal_eval 的区别详解
南淮北安的博客
10-05 1万+
文章目录一、eval 函数二、ast.literal_eval 函数 一、eval 函数 Python中,如果要将字符串型的 list,tuple,dict 转变成原有的类型呢 ? 这个时候你自然会想到eval eval函数Python 中做数据类型的转换还是很有用的。 它的作用就是把数据还原成它本身或者是能够转化成的数据类型 string 转化为 list string 转化为 tupl...
一文讲透ast.literal_eval() eval() json.loads()
最新发布
AIGC搞起
02-04 1316
- `ast.literal_eval()`用于将字符串转换为Python数据类型,如列表、字典等,是安全且有限制的。 - `eval()`可以执行任意的Python代码,但存在安全风险,应避免使用。 - `json.loads()`用于将JSON字符串转换为Python对象,如字典、列表等,是安全的且仅限于处理JSON数据。
eval.tar.gz.aa_parts_09
05-15
eval.tar.gz.aa_parts_09
eval.tar.gz.ae_parts_04
05-15
eval.tar.gz.ae_parts_04
big-array-literal.rar_We Work
09-21
Test that we can make large object literals that work.
Python函数evalast.literal_eval的区别详解
09-21
eval函数Python中做数据类型的转换还是很有用的。它的作用就是把数据还原成它本身或者是能够转化成的数据类型。那么evalast.literal_val()的区别是什么呢?本文将大家介绍关于Python函数evalast.literal_eval区别的相关资料,需要的朋友可以参考下。
Python教程:ast.literal_eval()的示例用法
我的Python教程
12-02 1760
这是因为 “print(‘Hello, world!但请注意,exec() 不像 ast.literal_eval() 那样安全,因为它可以执行任何 Python 代码。ast.literal_eval() 是一个 Python 的内置函数,它用于解析并执行一个包含 Python 文字字面值的抽象语法树(AST)。这个函数非常有用,因为它可以用来处理那些不包含任何可执行代码的字符串,但需要以一种安全的方式进行。请注意,ast.literal_eval() 不能解析并执行包含 Python 代码的字符串。
pythonast模块literal_eval()方法与eval()的区别
lmz_lmz的博客
11-08 5883
Python中,如果要将字符串型的列表,元组,dict转变成原有的类型呢?这个时候你自然会想到evalEVAL函数Python的中做数据类型的转换还是很有用的。它的作用就是把数据还原成它本身或者是能够转化成的数据类型。 string &lt;==&gt;列表 string &lt;==&gt;元组 string &lt;==&gt; dict 也就是说,使用的eval可以实现从元祖,列...
Pythoneval 的用法
热门推荐
ajie957的博客
09-14 4万+
eval函数主要是用来实现python中各种数据类型与str之间的转换,下面会详细的举出实例来帮助理解 一 eval( )函数的基本用法 (1)字符串转换为列表 b=eval(a) print(a) print(b) print(type(a)) print(type(b)) 输出结果如下 可见eval将原本为字符串类型的a转换为list列表类型的b (2)将字符串转换为字典 a='{"number":2,"name":"jay"}' b=eval(a)...
python库——ast.literal_eval
跬步
12-10 2436
参考文献: https://docs.python.org/zh-cn/3/library/ast.html https://kite.com/python/docs/ast https://kite.com/python/docs/ast.literal_eval literal_eval Safely evaluate an expression node or a Unicode o...
system_eval.rar_engineering_eval_matlab_mood1i3_pinkau1
09-20
system eval using system engineering method
Python 将字符串转为字典
apollo_miracle的博客
07-08 1802
有如下字符串: '{"name" : "apollo_miracle", "gender" : "male", "age": 18}' 想转化为字典格式: {'name': 'apollo_miracle', 'gender': 'male', 'age': 18} 方法一:通过 json 来转换 In [1]: import json In [2]: user_info = '{"name" : "apollo_miracle", "gender" : "male", "age": 18
python内置函数
weixin_30235225的博客
09-06 398
第一类:数学运算,共7个 1、abs(x) 返回数字的绝对值。参数可以是整数或浮点数。如果参数是复数,则返回其大小 1 >>> abs(1) 2 1 3 >>> abs(0) 4 0 5 >>> abs(-1) 6 1 7 >>> abs(1.2) 8 1.2 9 >&g...
内置函数eval安全处理方式ast.literal_eval
Yunwubanjian的博客
04-25 1379
内置函数 eval() 及安全处理方式ast.literal_eval() 1.eval() 功能:将字符串str当成有效的表达式来求值并返回计算结果。 eval()官方文档里面给出来的功能解释是:将字符串string对象转化为有效的表达式参与求值运算返回计算结果 语法上:调用的是:eval(expression,globals=None, locals=None)返回的是计算结果 其中...
python输入格式错误_Python值错误:节点或字符串格式不正确:<_原始名称目标
weixin_39827036的博客
12-17 2900
嗨,伙计们,我一直得到一个错误,我吓坏了,因为我有一个类似的代码,它没有造成任何问题。我想是因为ast.literal_评估但在我的另一个地理定位代码中,它工作得很好,唯一的区别是我的工作代码中有8个坐标,而不是2个。在from __future__ import print_functionfrom shapely.wkt import loads as load_wktfrom shapely...
Python从入门到精通14天(evalliteral_eval、exec函数的使用)
研究方向:机器学习、深度学习、AIOT
04-23 521
exec()和eval()可以执行任意Python代码,而literal_eval()函数只能执行包括字符串、数字、元组、列表和字典等在内的字面表达式,不能执行任意Python代码(如函数和模块不能执行)。参数:表示全局变量的字典,当有global参数时,eval函数就执行gobals参数字典键对应的值,它的作用域就限于globals中。参数:表示局部变量的字典,当局部变量中字典的键与全局变量中的字典的键相同时,优先执行locals参数中键对应的值。t参数:表示要执行的代码的字符串或和编译过的代码对象。
python eval和其替代函数ast.literal_eval方法
py_tester的博客
10-01 4868
一、eval函数 原文链接:https://blog.csdn.net/sinat_33924041/article/details/88350569 eval()官方文档里面给出来的功能解释是:将字符串string对象转化为有效的表达式参与求值运算返回计算结果。 >>> s='8*8' >>> eval(s) 64 >>> eval('2+...
python ast.literal_eval函数反序列化报错分析
柷敔的博客
04-17 4758
前言 最近接了个爬虫的活,顺便接触一下python的scrapy库,爬取网站、数据持久化确实很方便。写好文件以后只需要scrapy crawl <project name> -L ERROR -O result.jl就可以将数据按行保存,处理数据时也只需要简单的for line in file就行。 按行处理数据时,使用ast.literal_eval(line)就可以将上述数据转化为字典。不过在实际测试的时候出现了很多奇怪的问题,这里做以总结。 错误汇总 ValueError(msg + f’
eval()替代方法
sone 的博客
05-22 1376
python eval 替代方法eval()替代方法 eval()替代方法 from ast import literal_eval literal_eval()
pythonast.literal_eval的用法
08-05
### 回答1: ast.literal_eval是一个函数,可以将字符串转换为对应的Python对象,例如将字符串'123'转换为整数123,将字符串'[1, 2, 3]'转换为列表[1, 2, 3]。它可以安全地解析一些简单的Python表达式,但不支持所有Python语法。使用时需要注意安全性,避免执行恶意代码。 ### 回答2: ast.literal_evalPython内置的一个函数,它用于安全地评估一个字符串类型的Python表达式,并返回表达式的值。 使用ast.literal_eval可以避免使用内置函数eval()可能引发的安全问题。eval()函数会将传入的字符串当作Python代码进行评估,如果字符串来自不可信的来源,可能会导致执行恶意代码。而ast.literal_eval会执行更严格的评估,只会允许对字面值表达式的评估,不会执行任何函数调用或表达式语句。 ast.literal_eval的使用非常简单,只需将一个合法的字符串表达式作为参数传入即可。如果字符串的语法不正确, ast.literal_eval会抛出一个值错误(SyntaxError);如果字符串包含的表达式不是有效的Python字面值,会抛出一个值错误(ValueError)。如果表达式的评估成功,ast.literal_eval会返回表达式的值。 例如,假设有一个字符串'1 + 2',如果直接用eval()函数进行评估,会抛出一个错误,因为'1 + 2'不是一个有效的Python表达式。但如果使用ast.literal_eval('1 + 2'),会抛出一个值错误,提示无效的字面值。只有当传入合法的字面值表达式时,ast.literal_eval才能正确评估并返回其值。 总之,ast.literal_eval是一个非常有用的函数,它提供了一种安全且简便的方法来评估字符串类型的Python表达式,帮助我们在处理可信和不可信的Python代码时,减少潜在的安全风险。 ### 回答3: ast.literal_eval是一个Python内置模块ast中的函数,用于将字符串形式的字面值转换为对应的Python对象。它类似于内置函数eval,但有一些重要差异。 使用ast.literal_eval时,传入的参数必须是合法的Python字面值表达式,例如数字、字符串、元组、列表、字典、布尔值和None值等,否则会引发SyntaxError异常。 相比于eval函数ast.literal_eval更加安全。因为它仅仅被用于求值字面量表达式,不会执行任何表达式中的函数或变量,因此可以避免恶意代码的执行。这使得ast.literal_eval成为处理不可信输入时的一个很好的选择。 ast.literal_eval的返回值是根据传入的参数的类型而变化的,如果是字面值表达式,返回值将是对应的Python对象。例如,传入的字符串是"[1, 2, 3]",则返回一个列表 [1, 2, 3]。如果传入的字符串无法解析成合法的Python字面值,将会引发ValueError异常。 ast.literal_eval的应用场景广泛。例如,当从文件中读取字符串表示的数据时,可以使用ast.literal_eval将其转换为相应的数据结构。此外,它还常用于处理JSON数据,因为JSON的数据类型与Python的数据类型非常相似,可以使用ast.literal_eval将JSON字符串转换为Python对象。 总而言之,ast.literal_eval是一个安全且高效的函数,用于将字符串形式的字面值转换为Python对象。在处理不可信输入和解析字符串数据时,ast.literal_eval可以帮助我们避免潜在的安全问题,并提供更好的代码性能和可读性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值