前言

如果大家想要在python中將字符串轉(zhuǎn)換成列表，數(shù)字，字典等操作，都會(huì)想到使用eval()，確實(shí)這個(gè)函數(shù)很好用，但是它卻存在一定的安全性

eval的漏洞

如果用戶使用如下的代碼

open(r'D://filename.txt', 'r').read()__import__('os').system('dir')__import__('os').system('rm -rf /etc/*')

eval就會(huì)不管三七二十一，顯示你電腦目錄結(jié)構(gòu)，讀取文件，刪除文件…..如果是格盤等更嚴(yán)重的操作，她也會(huì)照做不誤！
更詳細(xì)的情況可以參考這里

如何避免這個(gè)漏洞

可以使用ast.literal_eval，這個(gè)函數(shù)具有同樣的eval()的功能，但是會(huì)判斷需要計(jì)算的內(nèi)容計(jì)算后是不是合法的python類型，如果是則進(jìn)行運(yùn)算，否則就不進(jìn)行運(yùn)算。
stackoverflow中的解釋

參考

https://nedbatchelder.com/blog/201206/eval_really_is_dangerous.html
https://blog.csdn.net/Jerry_1126/article/details/68831254
https://stackoverflow.com/questions/15197673/using-pythons-eval-vs-ast-literal-eval

總結(jié)

以上是默认站点為你收集整理的建议使用更加安全的ast.literal_eval去替代eval的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得默认站点網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將默认站点推薦給好友。