1. 程式人生 > >python3中的 eval函式

python3中的 eval函式

http://blog.csdn.net/zhanh1218/article/details/37562167 原文

eval()函式十分強大,官方demo解釋為:將字串str當成有效的表示式來求值並返回計算結果

so,結合math當成一個計算器很好用。

可以把list,tuple,dict和string相互轉化

  1. a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]"
  2. b = eval(a)  
  3. b  
  4. Out[3]: [[12], [34], [56], [78], [90]]  
  5. type(b)  
  6. Out[4]: list  
  7. a = "{1: 'a', 2: 'b'}"
  8. b = eval(a)  
  9. b  
  10. Out[7]: {1'a'2'b'}  
  11. type(b)  
  12. Out[8]: dict  
  13. a = "([1,2], [3,4], [5,6], [7,8], (9,0))"
  14. b = eval(a)  
  15. b  
  16. Out[11]: ([12], [34], [56], [78], (90))  

BUT!強大的函式有代價。安全性是其最大的缺點。

想一想這種使用環境:需要使用者輸入一個表示式,並求值。

如果使用者惡意輸入,例如:

  1. __import__('os').system('dir')  
那麼eval()之後,你會發現,當前目錄檔案都會展現在使用者前面。

那麼繼續輸入:

  1. open('檔名').read()  

程式碼都給人看了。獲取完畢,一條刪除命令,檔案消失。哭吧!

怎麼避免安全問題?

1、自行寫檢查函式;

2、使用ast.literal_eval:自行檢視DOCUMENT