经理看到我用eval,过来就是一jio

「这是我参与2022首次更文挑战的第16天,活动详情查看:2022首次更文挑战」。

背景:

前端根据用户输入的内容(输入一个数据),视图层自动给解析并求值成 字符串/整形/字典/浮点型/列表等。

结果小伙伴用了eval(用户输入的内容),如果加了双引号那就是字符串这个意思。

但是实际运用中。eval虽然很方便,但是却也伴随着危险。(大佬勿看)

假如万一有个用户输入的并不是一个安全的python数据类型的内容,而是某些恶意代码呢,那不是出了大事?比如os模块 或者某个计算表达式。

所以在这里隆重介绍下 安全版本的eval(),他只能求值python的数据类型,其他的各种计算命令根本不会执行。那么它是谁呢?就是ast.literal_eval

废话不多说,直接看代码图示,展示eval 和 ast.literal_eval 的各种情况下的运行效果:

首先是求值 “abcd”

图片

如图,tmp作为用户输入的内容 ,完全忠实的搬运过来。等待eval处理
看看处理结果:

图片

很明显。转化成了字符串,没问题
那么再来看ast.literal_eval的效果

图片

结果直接报错

图片

图片

图片

结果就是正常的了。
所以ast.literal_eval 在这一点上可以说是相当严谨了。安全性大幅提高。
再来看看计算表达式:

图片

图片

可以看到很轻松就求出值。这和我们起初前端页面的设想是不一样的。很危险就是了。
这里就不放一些恶意危险代码了以免被小朋友学坏了
再来看ast.literal_eval的表现

图片

图片

仍然会报错。可以看到屏蔽了各种计算表达式。所以用户输入的只能是python的正常合法数据类型了。否则就会报错。

所以建议测试小伙伴们写脚本或者测试平台时候,如果没特殊场景,只是单纯的想求值,那就用ast.literal_eval 吧。

图片

分类:
后端
标签: