安全的eval操作

最新推荐文章于 2024-03-08 11:58:44 发布
最新推荐文章于 2024-03-08 11:58:44 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: python 文章标签: eval python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyw794/article/details/78788801
版权

通过网络request返回的response,如果是列表之类的字符串。
很多人会通过eval来将字符串转为列表、字典等。

但这是非常危险的!
因为,返回的如果是不可信、不受控的信息,例如返回“os.system(‘rm / -rf’)”,那eval就会执行格式化电脑的操作!

官方给了解决方案

import ast
ast.literal_eval("{'muffin' : 'lolz', 'foo' : 'kitty'}")

literal_eval的输入,如果不是列表、字典等合法输入,就会拒绝它,从而避免被攻击。

mania_yan
关注
专栏目录
内置函数eval安全处理方式ast.literal_eval
Yunwubanjian的博客
04-25 1412
内置函数 eval() 及安全处理方式ast.literal_eval() 1.eval() 功能:将字符串str当成有效的表达式来求值并返回计算结果。 eval()官方文档里面给出来的功能解释是:将字符串string对象转化为有效的表达式参与求值运算返回计算结果 语法上:调用的是:eval(expression,globals=None, locals=None)返回的是计算结果 其中...
python3 eval安全替代函数ast.literal_eval的区别
weixin_51529314的博客
12-23 809
python3 eval安全替代函数ast.literal_eval的区别
eval会存在安全隐患
yigeng3663的博客
06-03 863
可以使用ast.literal_eval 代替
js eval() 安全
bkhech的专栏
02-27 4110
eval函数接收一个参数s,如果s不是字符串,则直接返回s。否则执行s语句。如果s语句执行结果是一个值,则返回此值,否则返回undefined。JavaScript中的eval()不安全,可能会被利用做XSS攻击(跨站脚本攻击(Cross Site Scripting)),eval也存在一个安全问题,因为它可以执行传给它的任何字符串,所以永远不要传入字符串或者来历不明和不受信任源的参数。 eva
JavaScript危险函数|eval()函数
qq_60115503的博客
04-18 5739
描述 eval()是全局对象的一个函数属性 eval()的参数是一个字符串,如果字符串表示的是表达式,eval()会对表达式进行求值,如果参数表示一个或多个JavaScript语句,那么eval()就会执行这些语句,不需要用eval()来执行一个算术表达式:因为javascript可以自动为算术表达式求值 如果你以字符串的形式构造了算术表达式,那么可以在后面用eval()对他求值,例如,假设你有一个变量x,你可以通过将表达式的字符串值(例如3*x+2)赋值给一个变量,然后在你的代码后面的其他地方调用e
python安全eval执行一般计算
willluckysmile的博客
12-30 305
增加了对小于、大于、等于、不等于、且、或、非等判断的支持。2023/1/3更新。
php5.x禁用eval操作方法
10-17
总结以上所述,本文向大家介绍了如何在PHP5.x中通过安装suhosin扩展来禁用eval操作的方法。suhosin扩展不仅能够禁用eval,还能通过其丰富的配置选项来提升PHP应用的安全性。对于那些需要提高安全性的项目,安装...
eval与window.eval的差别分析
10-28
由于这个特性,`eval`具有很高的风险,因为它允许运行不受信任的代码,可能导致安全漏洞。在上述代码示例中,`eval`被用于解析JSON字符串,这是常见的用法,但也存在替代方案,如使用`JSON.parse()`函数。 `eval`的...
test.rar_eval_eval;批量读取TXT文件
07-15
然而,需要注意的是,过度使用或不安全地使用`eval`可能会引入潜在的安全风险,因为它可以执行任意的字符串代码。 批量读取TXT文件通常涉及到文件I/O操作,MATLAB提供了如`fopen`、`fgets`、`fclose`等函数来读取...
详解pythoneval函数的作用
09-18
如果字符串中包含恶意代码,那么执行eval可能会导致安全问题,例如未授权的文件操作、数据泄露甚至系统攻击。因此,当你不确定字符串内容的安全性时,应该避免使用eval,或者在使用前对字符串进行严格的检查和清洗。...
eval()函数不安全的原因以及解决方案
weixin_33922670的博客
02-28 2241
第一部分:分享个phpeval后门程序要求必须支持eval函数使用方法http://url/test.php?pwd=admin&action=eval&a=phpinfo();代码:<?php$passwd="admin";if($_GET['pwd']!=$passwd)exit;if($_GET['action']=="eval" &&a...
shell中实用eval命令和安全问题
qq_21305943的专栏
10-12 706
eval命令非常强大,但也非常容易被滥用。它会导致代码被解析两次而不是一次。这意味着,如果你的代码中包含变量引用,shell解析器将评估该变量的内容。如果变量包含一个shell命令,shell可能会运行该命令,无论你是否希望运行它。这可能会导致意外的结果,特别是当变量可以从不受信任的来源(如用户或用户创建的文件)读取时。请注意,eval命令在编程中被广泛认为是危险的。它可以执行任意的Shell代码,包括恶意代码,因此应该谨慎使用。
eval 函数非常危险
superkrissV的专栏
12-12 1120
在一个真实的系统中,会有各种各样强大的类,传递给 `eval` 的字符串可以实例化和调用这些类。这可能造成永无止境的破坏。
pythoneval函数的使用及安全性问题
zoulonglong的博客
05-25 8898
Python有很多内置的很有用的工具函数,结合Python的强大的第三方库,熟练的运用这些内置工具有助于事半功倍,之前写工具遇到eval()函数,发现这个函数非常好用,但是慢慢后来通过网上的资料知道eval这个函数其实有利也有弊,函数涉及到一些安全问题,下面就对eval函数的使用和涉及到的安全问题进行讲解。eval函数的定义:eval()官方文档里面给出来的功能解释是:将字符串string对象转化...
JSON数据的安全性,避免使用eval
Dijason的专栏
03-25 4732
JSON(javascript object notation)可以说是XML的替代品,也是一种数据格式,但JSON更加简单简洁。 我们时常会想把JSON的字符串形式转换成对象,而js提供的eval函数可以帮我们完成这个工作。 var testJson = “{"name": "test", "age": 30}”; var jsonVal = eval(testJson);   //{"n
【php安全eval的禁止【原创】
liNewman的博客
05-12 941
【php安全eval的禁止【原创】 前段时间,网站遭受了黑客的入侵,后来在排查中发现了一个php,里面的内容只有很少: &lt;?php eval($_POST[asda123131323156341]);?&gt; 然后网上搜索一下php的eval函数,发现这个eval函数带有很大的安全隐患。 本地...
建议使用更加安全的ast.literal_eval去替代eval
青豆——廖
03-08 441
前言 如果大家想要在python中将字符串转换成列表,数字,字典等操作,都会想到使用eval(),确实这个函数很好用,但是它却存在一定的安全eval的漏洞 如果用户使用如下的代码 open(r'D://filename.txt', 'r').read() __import__('os').system('dir') __import__('os').system('rm -rf /et...
深入了解Pythoneval函数:基础用法与潜在危险
最新发布
一键难忘的博客
03-08 3683
Python中,`eval`函数是一个强大而灵活的工具,它允许将字符串作为代码来执行。然而,虽然`eval`在某些情况下非常方便,但它也潜藏着一些潜在的危险,如果不小心使用,可能导致安全性问题。在本文中,我们将深入探讨`eval`函数的基础用法,并提供一些使用该函数时需要注意的安全性建议。
WEB安全基础 - - -命令执行漏洞
weixin_67503304的博客
07-28 1715
简要介绍命令执行漏洞的原理,总结了常用的PHP代码执行函数。
python里面的eval操作
09-20
然而,eval函数的使用需要谨慎,因为它可以执行任意的代码,包括一些危险的操作。如果对eval函数的输入没有严格的控制,恶意用户可能会注入恶意代码,导致安全问题。 因此,在使用eval函数时,必须保证输入的字符串...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值