擅长:python、mysql、java
<p>只要您能够确保<code>attacker_controlled_nasty_variable</code>永远不是攻击者可以控制<code>__repr__</code>(或<code>__str__</code>)的对象,就像他可以注入python代码一样。在</p>
<p>但是,最好使用<code>repr(dic)</code>而不是{<cd5>},因为只有<code>repr</code>才能返回有效的python代码。在</p>
<p>另外,正如@payne提到的,使用更安全的<a href="http://docs.python.org/library/ast.html#ast.literal_eval" rel="nofollow">^{<cd7>}</a>,而不是{<cd8>}。在</p>