前言

如果大家想要在python中將字符串轉(zhuǎn)換成列表，數(shù)字，字典等操作，都會想到使用eval()，確實這個函數(shù)很好用，但是它卻存在一定的安全性

eval的漏洞

如果用戶使用如下的代碼

open(r'D://filename.txt', 'r').read()__import__('os').system('dir')__import__('os').system('rm -rf /etc/*')

eval就會不管三七二十一，顯示你電腦目錄結(jié)構(gòu)，讀取文件，刪除文件…..如果是格盤等更嚴(yán)重的操作，她也會照做不誤！
更詳細的情況可以參考這里

如何避免這個漏洞

可以使用ast.literal_eval，這個函數(shù)具有同樣的eval()的功能，但是會判斷需要計算的內(nèi)容計算后是不是合法的python類型，如果是則進行運算，否則就不進行運算。
stackoverflow中的解釋

參考

https://nedbatchelder.com/blog/201206/eval_really_is_dangerous.html
https://blog.csdn.net/Jerry_1126/article/details/68831254
https://stackoverflow.com/questions/15197673/using-pythons-eval-vs-ast-literal-eval

總結(jié)

以上是生活随笔為你收集整理的建议使用更加安全的ast.literal_eval去替代eval的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。