python安全eval执行一般计算

已于 2023-01-03 11:03:12 修改
阅读量279 收藏
点赞数
分类专栏: 后端 python 文章标签: python 开发语言
于 2022-12-30 11:55:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/willluckysmile/article/details/128493690
版权 
import ast
import re
from _ast import *
_NUM_TYPES = (int, float, complex)

def literal_eval(node_or_string):
    """
    Safely evaluate an expression node or a string containing a Python
    expression.  The string or node provided may only consist of the following
    Python literal structures: strings, bytes, numbers, tuples, lists, dicts,
    sets, booleans, and None.
    """
    if isinstance(node_or_string, str):
        node_or_string = ast.parse(node_or_string, mode='eval')
    if isinstance(node_or_string, Expression):
        node_or_string = node_or_string.body
    def _convert(node):
        if isinstance(node, Constant):
            return node.value
        elif isinstance(node, (Str, Bytes)):
            return node.s
        elif isinstance(node, Num):
            return node.n
        elif isinstance(node, Tuple):
            return tuple(map(_convert, node.elts))
        elif isinstance(node, List):
            return list(map(_convert, node.elts))
        elif isinstance(node, Set):
            return set(map(_convert, node.elts))
        elif isinstance(node, Dict):
            return dict((_convert(k), _convert(v)) for k, v
                        in zip(node.keys, node.values))
        elif isinstance(node, NameConstant):
            return node.value
        elif isinstance(node, UnaryOp) and isinstance(node.op, (UAdd, USub)):
            operand = _convert(node.operand)
            if isinstance(operand, _NUM_TYPES):
                if isinstance(node.op, UAdd):
                    return + operand
                else:
                    return - operand
        elif isinstance(node, BinOp) and isinstance(node.op, (Add, Sub)):
            left = _convert(node.left)
            right = _convert(node.right)
            if isinstance(left, _NUM_TYPES) and isinstance(right, _NUM_TYPES):
                if isinstance(node.op, Add):
                    return left + right
                else:
                    return left - right
        elif isinstance(node, BinOp) and isinstance(node.op, (Mult, Div)):
            left = _convert(node.left)
            right = _convert(node.right)
            if isinstance(left, _NUM_TYPES) and isinstance(right, _NUM_TYPES):
                if isinstance(node.op, Mult):
                    return left * right
                else:
                    return left / right
        elif isinstance(node, Compare) and all([isinstance(x, (Lt, LtE, Gt, GtE, Eq, NotEq)) for x in node.ops]):
            left = _convert(node.left)
            comparators = [_convert(comparator) for comparator in node.comparators]
            if len(comparators) == len(node.ops):
                for i in range(len(node.ops)):
                    op = node.ops[i]
                    comparator = comparators[i]
                    if isinstance(left, _NUM_TYPES) and isinstance(comparator, _NUM_TYPES):
                        if isinstance(op, Lt):
                            result = (left < comparator)
                        elif isinstance(op, LtE):
                            result = (left <= comparator)
                        elif isinstance(op, Gt):
                            result = (left > comparator)
                        elif isinstance(op, GtE):
                            result = (left >= comparator)
                        elif isinstance(op, Eq):
                            result = (left == comparator)
                        elif isinstance(op, NotEq):
                            result = (left != comparator)
                        else:
                            break
                        left = comparator
                        if not result:
                            return False
                else:
                    return True
        elif isinstance(node, BoolOp) and isinstance(node.op, (And, Or)):
            values = node.values
            if len(values) == 2:
                left = _convert(values[0])
                right = _convert(values[1])
                if (isinstance(left, _NUM_TYPES) or isinstance(left, (NameConstant, Constant))) and (isinstance(right, _NUM_TYPES) or isinstance(right, (NameConstant, Constant))):
                    if isinstance(node.op, And):
                        return left and right
                    elif isinstance(node.op, Or):
                        return left or right
        elif isinstance(node, UnaryOp) and isinstance(node.op, (Not, )):
            value = _convert(node.operand)
            if isinstance(value, _NUM_TYPES) or isinstance(value, (NameConstant, Constant)):
                return not value
        raise ValueError('malformed node or string: ' + repr(node))
    return _convert(node_or_string)

python中eval功能十分强大, 但是同时安全漏洞也很明显, 通过__import__('os').system方法, 可以通过字符串eval方式执行任意cmd, 所以通常不采用eval去做功能, 但有些时候, 一些需求需要用到动态计算, 如果单纯通过模型间关系去做几乎不可能, 如果通过解析引擎去动态计算, 构建引擎的复杂度本身就超过了计算的复杂度, 通过资料的查找, 可以通过ast的literal_eval的方式去执行计算, 但是改方法本身只支持加减运算, 通过对源码copy修改后, 即可放开对乘除的计算, 代码如上

2023/1/3更新

增加了对小于、大于、等于、不等于、且、或、非等判断的支持

碧落&凡尘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python函数eval的使用与利弊
12-20
函数实现将字符串转换为等价的可执行命令,执行一个字符串表达式,并返回表达式的值。 语法 eval(expression[,globals[,locals]]) expression–表达式 globals–变量作用域,全局命名空间 locals–变量作用...
Debug:ValueError: malformed node or string
lt_BeiMo的博客
04-11 7784
1.ValueError: malformed node or string ValueError:错误的节点或字符串: 异常展示: 2.异常原因: df.col=df.col.apply(literal_eval) 输入:字符串 输出:对应的标准的python数据格式 错误是应为:df.col是字符串,df.col=df.col.apply(literal_eval)后,df.col是已经转换成指定类型的python类型,又执行了一次,df.col=df.col.apply(li..
安全eval操作
yyw794的专栏
12-13 1265
通过网络request返回的response,如果是列表之类的字符串。 很多人会通过eval来将字符串转为列表、字典等。但这是非常危险的! 因为,返回的如果是不可信、不受控的信息,例如返回“os.system(‘rm / -rf’)”,那eval就会执行格式化电脑的操作!官方给了解决方案import ast ast.literal_eval("{'muffin' : 'lolz', 'foo'
python输入格式错误_Python值错误:节点或字符串格式不正确:<_原始名称目标
weixin_39827036的博客
12-17 2912
嗨,伙计们,我一直得到一个错误,我吓坏了,因为我有一个类似的代码,它没有造成任何问题。我想是因为ast.literal_评估但在我的另一个地理定位代码中,它工作得很好,唯一的区别是我的工作代码中有8个坐标,而不是2个。在from __future__ import print_functionfrom shapely.wkt import loads as load_wktfrom shapely...
python输入格式错误_Python为什么这是一个格式错误的节点或字符串?
weixin_42512494的博客
02-11 1338
我正在整理一些代码,遇到了一些麻烦。我遇到了一个以前从未遇到过的错误ValueError: malformed node or string:['0.000', '37.903', 'nosing']我的openLabels函数在顶部工作得很好,并返回一个项目列表,结构如您在错误消息中看到的那样。我正在做一些调试,发现是labelsToFrames函数抛出了错误。它不接受我的列表作为输入。我不知道...
Python Eval 函数的安全使用的小方法
u011843342的博客
10-16 561
: None} ,但只能防脚本小子,也可以通过().__class__.__bases__[0].__subclasses__()执行一些恶意代码,对于稍微懂一点python底层知识的用户来说,完全没有任何阻挡效果,所以聊胜于无。之所以能被执行,是因为eval可以访问内置函数,也就是__import__方法,import了os并执行了命令。配一些动态规则等,eval会用的比较多,但eval安全性比较低,容易被执行恶意代码。那么,其实拒绝__XXXX__并且给一些比较危险的方法上黑名单就好了。
详解pythoneval函数的作用
01-02
eval函数功能:将字符串str当成有效的表达式来求值并返回计算结果。eval函数可以实现list、dict、tuple与str之间的转化 eval() 方法的语法: eval(expression[, globals[, locals]]) 参数: ...
Python中的exec、eval使用实例
01-20
Python中的eval函数可以计算Python表达式,并返回结果(exec不返回结果,print(eval(“…”))打印None); 复制代码 代码如下:  >>> exec(“print(\”hello, world\”)”) hello, world >>> a = ...
Python 执行字符串表达式函数(eval exec execfile)
12-25
eval:计算字符串中的表达式 exec:执行字符串中的语句 execfile:用来执行一个文件 需注意的是,exec是一个语句,而eval()和execfile()则是内建built-in函数。 Python 2.7.2 (default, Jun 12 2011, ...
解析Python中的eval()、exec()及其相关函数
12-24
也就是说它要执行Python代码只能是单个运算表达式(注意eval不支持任意形式的赋值操作),而不能是复杂的代码逻辑,这一点和lambda表达式比较相似。 函数定义: eval(expression, globals=None, locals=None...
eval 函数非常危险
superkrissV的专栏
12-12 1038
在一个真实的系统中,会有各种各样强大的类,传递给 `eval` 的字符串可以实例化和调用这些类。这可能造成永无止境的破坏。
Python eval的用法及注意事项
q1744543107的博客
05-12 390
evalPython的一个内置函数,这个函数的作用是,返回传入字符串的表达式的结果。想象一下变量赋值时,将等号右边的表达式写成字符串的格式,将这个字符串作为eval的参数,eval的返回值就是这个表达式的结果。pythoneval函数的用法十分的灵活,但也十分危险,安全性是其最大的缺点。本文从灵活性和危险性两方面介绍eval
python建议:警惕eval函数的安全漏洞
热门推荐
Neo
11-22 1万+
如果你了解JavaScript或者PHP等,那么你一定对eval()所有了解。如果你并没有接触过也没关系,eva()l函数的使用非常简单。 >>> eval("1+1==2") #进行判断 True >>> eval("'a'+'b'") #字符连接 'ab' >>> eval("4+5") #数字相加 9 >...
功能强大,但因安全隐患被企业禁用的Python内置函数
weixin_43790276的博客
01-02 7697
强大与危险并存。
python中文文本分析_Python:使用Ast modu分析文本文件中的字符串时出错
weixin_39567222的博客
11-24 255
我有一个文本文件(.txt),其中包含以下两个字符串(这是一个较大文件的片段,其中所有字符串的格式都相同):["('a', '1')", "('b', '2')"]["('c', '3')", "('d', '4')"]我使用下面的代码来解析文本文件中的字符串,以便可以访问每个元素进行数据分析。如果我将字符串声明为变量,则该代码适用于该字符串,例如:字符串=[“('c','3')”,“('d','...
Python运行表达式
01-23 978
eval(字符串) 作用:执行一个字符串表达式(单行表达式,不能包含=) 例1:列表形式的字符串转为列表 l = "[1,4,6,8,0]" print (eval(l)) [1, 4, 6, 8, 0] 例2:字典形式的字符串转为字典 l = "{\"t\":[1,4,6,8,0]}" print (eval(l)) {'t': [1, 4, 6, 8, 0]} 例3:元组形式的字符串转为元组 l = "(1,4,6,8,0)" print (eval(l)) (1, 4, 6, 8, 0) 例4:
解决问题python:SyntaxError: unexpected EOF while parsing
a961634066的博客
10-22 3718
# 原因,使用eval时,数据为空报错 eval("") # 报错信息 Traceback (most recent call last): File "<input>", line 1, in <module> File "<string>", line 0 ^ SyntaxError: unexpected EOF while parsing import ast ast.literal_eval('') # 报错信息 Tracebac.
python compile error_TypeError:compile()需要不带空字节的字符串
weixin_39564831的博客
12-06 552
我正在尝试使用google translate API翻译字符串。#!/usr/bin/env python# -*- coding: utf-8 -*-import sysimport urllibimport urllib2import asturl = 'http://ajax.googleapis.com/ajax/services/language/translate?v=1.0&amp...
pythoneval计算表达式
最新发布
11-10
是的,Python中的eval()函数可以用于计算布尔、数学和通用的Python表达式eval()函数的语法如下: ```python eval(expression[, globals[, locals]]) ``` 其中,expression是要计算表达式,globals和locals是可...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值