zoukankan      html  css  js  c++  java
  • Python:eval的妙用和滥用

     

    eval()函数十分强大,官方demo解释为:将字符串str当成有效的表达式来求值并返回计算结果。

    so,结合math当成一个计算器很好用。

    其他用法,可以把list,tuple,dict和string相互转化。见下例子:

    a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]"
    
    b = eval(a)
    
    b
    Out[3]: [[1, 2], [3, 4], [5, 6], [7, 8], [9, 0]]
    
    type(b)
    Out[4]: list
    
    a = "{1: 'a', 2: 'b'}"
    
    b = eval(a)
    
    b
    Out[7]: {1: 'a', 2: 'b'}
    
    type(b)
    Out[8]: dict
    
    a = "([1,2], [3,4], [5,6], [7,8], (9,0))"
    
    b = eval(a)
    
    b
    Out[11]: ([1, 2], [3, 4], [5, 6], [7, 8], (9, 0))

    不可谓不强大!

    BUT!强大的函数有代价。安全性是其最大的缺点。

    想一想这种使用环境:需要用户输入一个表达式,并求值。

    如果用户恶意输入,例如:

    __import__('os').system('dir')

    那么eval()之后,你会发现,当前目录文件都会展现在用户前面。

    那么继续输入:

    open('文件名').read()

    代码都给人看了。获取完毕,一条删除命令,文件消失。哭吧!

    怎么避免安全问题?

    1、自行写检查函数;

    2、使用ast.literal_eval: 自行查看DOCUMENT

    本文由@The_Third_Wave(Blog地址: http://blog.csdn.net/zhanh1218 )原创。还有未涉及的,会不定期更新,有错误请指正。

    如果你看到这篇博文时发现没有不完整,那是我为防止爬虫先发布一半的原因,请看原作者Blog。

    如果这篇博文对您有帮助,为了好的网络环境, 不建议转载,建议收藏! 如果您一定要转载,请带上后缀和本文地址。

  • 相关阅读:
    线程高并发
    29(套接字)就是网络编程
    28线程
    27 枚举
    26静态导入和可变参数
    25JDK新特性
    25断言 assert关键字
    24单元测试 junit
    炫酷CSS
    PHP 汉字转拼音类
  • 原文地址:https://www.cnblogs.com/webRobot/p/6222861.html
Copyright © 2011-2022 走看看