eval()函式 python eval() Python:eval的妙用和濫用
阿新 • • 發佈:2018-11-21
eval()函式十分強大,官方demo解釋為:將字串str當成有效的表示式來求值並返回計算結果。
so,結合math當成一個計算器很好用。
其他用法,可以把list,tuple,dict和string相互轉化。
見下例子:
a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]" b = eval(a) b Out[3]: [[1, 2], [3, 4], [5, 6], [7, 8], [9, 0]] type(b) Out[4]: list a = "{1: 'a', 2: 'b'}" b = eval(a) b Out[7]: {1: 'a', 2: 'b'} type(b) Out[8]: dict a = "([1,2], [3,4], [5,6], [7,8], (9,0))" b = eval(a) b Out[11]: ([1, 2], [3, 4], [5, 6], [7, 8], (9, 0))
不可謂不強大!
BUT!強大的函式有代價。安全性是其最大的缺點。
想一想這種使用環境:需要使用者輸入一個表示式,並求值。
如果使用者惡意輸入,例如:
__import__('os').system('dir')
那麼eval()之後,你會發現,當前目錄檔案都會展現在使用者前面。
那麼繼續輸入:
open('檔名').read()
程式碼都給人看了。獲取完畢,一條刪除命令,檔案消失。哭吧!
怎麼避免安全問題?
1、自行寫檢查函式;
2、使用ast.literal_eval: 自行檢視DOCUMENT
3、更多好文: Restricted "safe" eval(Python recipe)
參考文獻
1.【python eval()】https://www.cnblogs.com/dadadechengzi/p/6149930.html
2.【Python:eval的妙用和濫用】https://www.cnblogs.com/yunpiao111/p/5467282.html