您好,登錄后才能下訂單哦!
eval是Python的一個內置函數,這個函數的作用是,返回傳入字符串的表達式的結果。想象一下變量賦值時,將等號右邊的表達式寫成字符串的格式,將這個字符串作為eval的參數,eval的返回值就是這個表達式的結果。
python中eval函數的用法十分的靈活,但也十分危險,安全性是其最大的缺點。本文從靈活性和危險性兩方面介紹eval。
1、強大之處
舉幾個例子感受一下,字符串與list、tuple、dict的轉化。
a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]" b = eval(a) b Out[3]: [[1, 2], [3, 4], [5, 6], [7, 8], [9, 0]] type(b) Out[4]: list a = "{1: 'a', 2: 'b'}" b = eval(a) b Out[7]: {1: 'a', 2: 'b'} type(b) Out[8]: dict a = "([1,2], [3,4], [5,6], [7,8], (9,0))" b = eval(a) b Out[11]: ([1, 2], [3, 4], [5, 6], [7, 8], (9, 0))
強大吧,給個字符串給eval,eval給你一個表達式返回值。
eval的語法格式如下:
eval(expression[, globals[, locals]])
expression : 字符串
globals : 變量作用域,全局命名空間,如果被提供,則必須是一個字典對象。
locals : 變量作用域,局部命名空間,如果被提供,可以是任何映射對象。
結合globals和locals看看幾個例子
傳遞globals參數值為{“age”:1822},
eval("{'name':'linux','age':age}",{"age":1822})
輸出結果:{‘name': ‘linux', ‘age': 1822}
再加上locals變量
age=18 eval("{'name':'linux','age':age}",{"age":1822},locals())
根據上面兩個例子可以看到當locals參數為空,globals參數不為空時,查找globals參數中是否存在變量,并計算。
當兩個參數都不為空時,先查找locals參數,再查找globals參數,locals參數中同名變量會覆蓋globals中的變量。
2、危險之處
eval雖然方便,但是要注意安全性,可以將字符串轉成表達式并執行,就可以利用執行系統命令,刪除文件等操作。
假設用戶惡意輸入。比如:
eval("__import__('os').system('ls /Users/chunming.liu/Downloads/')")
那么eval()之后,你會發現,當前文件夾文件都會展如今用戶前面。這句其實相當于執行了
os.system('ls /Users/chunming.liu/Downloads/')
那么繼續輸入:
eval("__import__('os').system('cat /Users/chunming.liu/Downloads/tls_asimov_cert.pem')")
代碼都給人看了。
再來一條刪除命令,文件消失。比如
eval("__import__('os').system('rm /Users/chunming.liu/Downloads/車輛轉發測試.png')")
所以使用eval,一方面享受他的了靈活性同時,也要注意安全性。
以上所述是小編給大家介紹的Python中eval的強大與危害詳解整合,希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會及時回復大家的。在此也非常感謝大家對億速云網站的支持!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。