Python中文网 - 问答频道, 解决您学习工作中的Python难题和Bug
Python常见问题
如果我正在使用eval()计算一个Python字符串,并且有一个类似的类:
class Foo(object):
a = 3
def bar(self, x): return x + a
如果我不信任字符串,会有什么安全风险?特别是:
eval(string, {"f": Foo()}, {})不安全吗?也就是说,你能从Foo实例中访问os或sys或其他不安全的东西吗?eval(string, {}, {})不安全吗?也就是说,我能完全从len和list这样的内置组件到达os或sys吗?- 有没有一种方法可以使内置项根本不存在于评估上下文中?
有一些不安全的字符串,比如“[0]*100000000”,我不在乎,因为最坏的情况下,它们会减慢/停止程序。我主要关心的是保护程序外部的用户数据。
显然,在大多数情况下,没有自定义词典的eval(string)是不安全的。
Tags: 字符串self程序stringreturnobjectfooos
热门问题
- 是什么导致导入库时出现这种延迟?
- 是什么导致导入时提交大内存
- 是什么导致导入错误:“没有名为modules的模块”?
- 是什么导致局部变量引用错误?
- 是什么导致循环中的属性错误以及如何解决此问题
- 是什么导致我使用kivy的代码内存泄漏?
- 是什么导致我在python2.7中的代码中出现这种无意的无限循环?
- 是什么导致我的ATLAS工具在尝试构建时失败?
- 是什么导致我的Brainfuck transpiler的输出C文件中出现中止陷阱?
- 是什么导致我的Django文件上载代码内存峰值?
- 是什么导致我的json文件在添加kivy小部件后重置?
- 是什么导致我的python 404检查脚本崩溃/冻结?
- 是什么导致我的Python脚本中出现这种无效语法错误?
- 是什么导致我的while循环持续时间延长到12分钟?
- 是什么导致我的代码膨胀文本文件的大小?
- 是什么导致我的函数中出现“ValueError:cannot convert float NaN to integer”
- 是什么导致我的安跑的时间大大减少了?
- 是什么导致我的延迟触发,除了添加回调、启动反应器和连接端点之外什么都没做?
- 是什么导致我的条件[Python]中出现缩进错误
- 是什么导致我的游戏有非常低的fps
热门文章
- Python覆盖写入文件
- 怎样创建一个 Python 列表?
- Python3 List append()方法使用
- 派森语言
- Python List pop()方法
- Python Django Web典型模块开发实战
- Python input() 函数
- Python3 列表(list) clear()方法
- Python游戏编程入门
- 如何创建一个空的set?
- python如何定义(创建)一个字符串
- Python标准库 [The Python Standard Library by Ex
- Python网络数据爬取及分析从入门到精通(分析篇)
- Python3 for 循环语句
- Python List insert() 方法
- Python 字典(Dictionary) update()方法
- Python编程无师自通 专业程序员的养成
- Python3 List count()方法
- Python 网络爬虫实战 [Web Crawler With Python]
- Python Cookbook(第2版)中文版
您可以使用内置函数
os。对于Python2.6+,虽然ast module完全取决于要计算的内容,但它可能有帮助;特别是
ast.literal_eval。eval()将允许恶意数据危害您的整个系统,杀死您的猫,吃掉您的狗,并与您的妻子做爱。最近,在python dev列表中有一个关于如何安全地做这种事情的线程,其结论是:
从这里开始阅读挑战:http://tav.espians.com/a-challenge-to-break-python-security.html
在什么情况下要使用eval()?是否希望用户能够执行任意表达式?或者你想以某种方式传输数据?也许可以通过某种方式锁定输入。
你不能用这样的黑名单方法来保证eval的安全。请参阅Eval really is dangerous以获取输入示例,这些输入将使CPython解释器出现故障,允许您访问任何喜欢的类,等等。
相关问题 更多 >
编程相关推荐