本文摘自php中文网,作者不言,侵删。
本篇文章给大家带来的内容是关于python中eval的用法详解及潜在风险介绍,有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。eval前言
1 2 3 4 5 | In [1]: eval("2+3")
Out[1]: 5
In [2]: eval('[x for x in range(9)]')
Out[2]: [0, 1, 2, 3, 4, 5, 6, 7, 8]
|
当内存中的内置模块含有os的话,eval同样可以做到命令执行:
1 2 3 4 5 | In [3]: import os
In [4]: eval("os.system('whoami')")
hy-201707271917\administrator
Out[4]: 0
|
当然,eval只能执行Python的表达式类型的代码,不能直接用它进行import操作,但exec可以。如果非要使用eval进行import,则使用__import__:
1 2 3 | In [8]: eval("__import__('os').system('whoami')")
hy-201707271917\administrator
Out[8]: 0
|
在实际的代码中,往往有使用客户端数据带入eval中执行的需求。比如动态模块的引入,举个栗子,一个在线爬虫平台上爬虫可能有多个并且位于不同的模块中,服务器端但往往只需要调用用户在客户端选择的爬虫类型,并通过后端的exec或者eval进行动态调用,后端编码实现非常方便。但如果对用户的请求处理不恰当,就会造成严重的安全漏洞。
安全”使用eval
现在提倡最多的就是使用eval的后两个参数来设置函数的白名单:
Eval函数的声明为eval(expression[, globals[, locals]])
其中,第二三个参数分别指定能够在eval中使用的函数等,如果不指定,默认为globals()和locals()函数中 包含的模块和函数。
1 2 3 4 5 6 7 8 9 10 11 | >>> import os
>>> 'os' in globals()
True
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0
>>> eval('os.system('whoami')',{},{})
Traceback (most recent call last):
File "", line 1, in
File "", line 1, in
NameError: name 'os' is not defined
|
如果指定只允许调用abs函数,可以使用下面的写法:
1 2 3 4 5 6 7 8 9 10 | >>> eval('abs(-20)',{'abs':abs},{'abs':abs})
20
>>> eval('os.system('whoami')',{'abs':abs},{'abs':abs})
Traceback (most recent call last):
File "", line 1, in
File "", line 1, in
NameError: name 'os' is not defined
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0
|
使用这种方法来防护,确实可以起到一定的作用,但是,这种处理方法可能会被绕过,从而造成其他问题!
绕过执行代码1
阅读剩余部分
相关阅读 >>
str Python是什么意思
实例详解Python如何轻松实现动态进度条
Python开发什么
Python之包管理工具—pip的安装使用指南
Python表达式是什么
Python学会了可以干什么
Python如何保留小数点位数
Python中如何重命名多个文件
Python列表如何去重
如何用Python做游戏
更多相关阅读请进入《Python》频道 >>
人民邮电出版社
python入门书籍,非常畅销,超高好评,python官方公认好书。
转载请注明出处:木庄网络博客 » python中eval的用法详解及潜在风险介绍
