Python:eval的妙用和濫用
阿新 • • 發佈:2017-05-20
list 建議 表達式 博文 環境 dem 完整 定期 mat
eval()函數十分強大,官方demo解釋為:將字符串str當成有效的表達式來求值並返回計算結果。
so,結合math當成一個計算器非常好用。
其它使用方法,能夠把list,tuple,dict和string相互轉化。見下樣例:
a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]"
b = eval(a)
b
Out[3]: [[1, 2], [3, 4], [5, 6], [7, 8], [9, 0]]
type(b)
Out[4]: list
a = "{1: 'a', 2: 'b'}"
b = eval(a)
b
Out[7]: {1: 'a', 2: 'b'}
type(b)
Out[8]: dict
a = "([1,2], [3,4], [5,6], [7,8], (9,0))"
b = eval(a)
b
Out[11]: ([1, 2], [3, 4], [5, 6], [7, 8], (9, 0))BUT!
強大的函數有代價。安全性是其最大的缺點。
想一想這樣的使用環境:須要用戶輸入一個表達式。並求值。
假設用戶惡意輸入。比如:
__import__('os').system('dir')那麽eval()之後,你會發現,當前文件夾文件都會展如今用戶前面。
那麽繼續輸入:
open('文件名稱').read()
代碼都給人看了。
獲取完成,一條刪除命令。文件消失。
哭吧!
怎麽避免安全問題?
1、自行寫檢查函數;
2、使用ast.literal_eval:自行查看DOCUMENT
3、很多其它好文:Restricted "safe" eval(Python recipe)
[email protected]_Third_Wave(Blog地址:http://blog.csdn.net/zhanh1218)原創。
還有未涉及的,會不定期更新,有錯誤請指正。
假設你看到這篇博文時發現不完整,那是我為防止爬蟲先公布一半的原因。請看原作者Blog。
假設這篇博文對您有幫助,為了好的網絡環境。不建議轉載,建議收藏。假設您一定要轉載。請帶上後綴和本文地址。
Python:eval的妙用和濫用