「这是我参与2022首次更文挑战的第16天,活动详情查看:2022首次更文挑战」。
背景:
前端根据用户输入的内容(输入一个数据),视图层自动给解析并求值成 字符串/整形/字典/浮点型/列表等。
结果小伙伴用了eval(用户输入的内容),如果加了双引号那就是字符串这个意思。
但是实际运用中。eval虽然很方便,但是却也伴随着危险。(大佬勿看)
假如万一有个用户输入的并不是一个安全的python数据类型的内容,而是某些恶意代码呢,那不是出了大事?比如os模块 或者某个计算表达式。
所以在这里隆重介绍下 安全版本的eval(),他只能求值python的数据类型,其他的各种计算命令根本不会执行。那么它是谁呢?就是ast.literal_eval
废话不多说,直接看代码图示,展示eval 和 ast.literal_eval 的各种情况下的运行效果:
首先是求值 “abcd”
如图,tmp作为用户输入的内容 ,完全忠实的搬运过来。等待eval处理
看看处理结果:
很明显。转化成了字符串,没问题
那么再来看ast.literal_eval的效果
结果直接报错
结果就是正常的了。
所以ast.literal_eval 在这一点上可以说是相当严谨了。安全性大幅提高。
再来看看计算表达式:
可以看到很轻松就求出值。这和我们起初前端页面的设想是不一样的。很危险就是了。
这里就不放一些恶意危险代码了以免被小朋友学坏了
再来看ast.literal_eval的表现
仍然会报错。可以看到屏蔽了各种计算表达式。所以用户输入的只能是python的正常合法数据类型了。否则就会报错。
所以建议测试小伙伴们写脚本或者测试平台时候,如果没特殊场景,只是单纯的想求值,那就用ast.literal_eval 吧。
