學(xué)習(xí)python過程中�,大家對于python的一些理論知識一定要理解清楚,不要搞混�。今天小編跟大家分享的就是對于python中eval() 與 exec()的辨析。希望對于大家學(xué)習(xí)和使用python有所幫助���。
文章來源: Python貓
作者: 豌豆花下貓
python 提供了很多內(nèi)置的工具函數(shù)(Built-in Functions)���,在最新的 python 3 官方文檔中����,它列出了 69 個。
大部分函數(shù)是我們經(jīng)常使用的���,例如 print()�����、open() 與 dir(),而有一些函數(shù)雖然不常用�,但它們在某些場景下,卻能發(fā)揮出不一般的作用��。內(nèi)置函數(shù)們能夠被“提拔”出來����,這就意味著它們皆有獨到之處�����,有用武之地��。
因此���,掌握內(nèi)置函數(shù)的用法�����,就成了我們應(yīng)該點亮的技能��。
在《Python進(jìn)階:如何將字符串常量轉(zhuǎn)為變量��?》文中�,我提到過 eval() 和 exec() ���,但對它們并不太了解����。為了彌補(bǔ)這方面知識,我就重新學(xué)習(xí)了下�����。這篇文章是一份超級詳細(xì)的學(xué)習(xí)記錄�,系統(tǒng)、全面而深入地辨析了這兩大函數(shù)�。
1、eval 的基本用法
語法:eval(expression, globals=None, locals=None)
它有三個參數(shù)���,其中 expression 是一個字符串類型的表達(dá)式或代碼對象�����,用于做運算�����;globals 與 locals 是可選參數(shù)����,默認(rèn)值是 None。
具體而言���,expression 只能是單個表達(dá)式,不支持復(fù)雜的代碼邏輯��,例如賦值操作����、循環(huán)語句等等。(PS:單個表達(dá)式并不意味著“簡單無害”����,參見下文第 4 節(jié))
globals 用于指定運行時的全局命名空間,類型是字典�����,缺省時使用的是當(dāng)前模塊的內(nèi)置命名空間�。locals 指定運行時的局部命名空間,類型是字典,缺省時使用 globals 的值��。兩者都缺省時�����,則遵循 eval 函數(shù)執(zhí)行時的作用域�����。值得注意的是��,這兩者不代表真正的命名空間�,只在運算時起作用,運算后則銷毀����。
x = 10
def func():
y = 20
a = eval('x + y')
print('a: ', a)
b = eval('x + y', {'x': 1, 'y': 2})
print('x: ' + str(x) + ' y: ' + str(y))
print('b: ', b)
c = eval('x + y', {'x': 1, 'y': 2}, {'y': 3, 'z': 4})
print('x: ' + str(x) + ' y: ' + str(y))
print('c: ', c)
func()
輸出結(jié)果:
a: 30
x: 10 y: 20
b: 3
x: 10 y: 20
c: 4
由此可見,當(dāng)指定了命名空間的時候����,變量會在對應(yīng)命名空間中查找。而且���,它們的值不會覆蓋實際命名空間中的值���。
2�����、exec 的基本用法
語法:exec(object[, globals[, locals]])
在 Python2 中 exec 是個語句���,而 Python3 將其改造成一個函數(shù),像 print 一樣��。exec() 與 eval() 高度相似�,三個參數(shù)的意義和作用相近。
主要的區(qū)別是���,exec() 的第一個參數(shù)不是表達(dá)式,而是代碼塊����,這意味著兩點:一是它不能做表達(dá)式求值并返回出去,二是它可以執(zhí)行復(fù)雜的代碼邏輯���,相對而言功能更加強(qiáng)大���,例如����,當(dāng)代碼塊中賦值了新的變量時�����,該變量可能 在函數(shù)外的命名空間中存活下來�。
>>> x = 1
>>> y = exec('x = 1 + 1')
>>> print(x)
>>> print(y)
2
None
可以看出,exec() 內(nèi)外的命名空間是相通的��,變量由此傳遞出去�����,而不像 eval() 函數(shù)�����,需要一個變量來接收函數(shù)的執(zhí)行結(jié)果��。
3���、一些細(xì)節(jié)辨析
兩個函數(shù)都很強(qiáng)大�����,它們將字符串內(nèi)容當(dāng)做有效的代碼執(zhí)行����。這是一種字符串驅(qū)動的事件,意義重大�。然而,在實際使用過程中��,存在很多微小的細(xì)節(jié)��,此處就列出我所知道的幾點吧�。
常見用途:將字符串轉(zhuǎn)成相應(yīng)的對象,例如 string 轉(zhuǎn)成 list ���,string 轉(zhuǎn)成 dict�,string 轉(zhuǎn) tuple 等等�����。
>>> a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]"
>>> print(eval(a))
[[1, 2], [3, 4], [5, 6], [7, 8], [9, 0]]
>>> a = "{'name': 'Python貓', 'age': 18}"
>>> print(eval(a))
{'name': 'Python貓', 'age': 18}
# 與 eval 略有不同
>>> a = "my_dict = {'name': 'Python貓', 'age': 18}"
>>> exec(a)
>>> print(my_dict)
{'name': 'Python貓', 'age': 18}
eval() 函數(shù)的返回值是其 expression 的執(zhí)行結(jié)果�,在某些情況下���,它會是 None��,例如當(dāng)該表達(dá)式是 print() 語句�����,或者是列表的 append() 操作時���,這類操作的結(jié)果是 None���,因此 eval() 的返回值也會是 None。
>>> result = eval('[].append(2)')
>>> print(result)
None
exec() 函數(shù)的返回值只會是 None��,與執(zhí)行語句的結(jié)果無關(guān)��,所以,將 exec() 函數(shù)賦值出去����,就沒有任何必要。所執(zhí)行的語句中��,如果包含 return 或 yield ���,它們產(chǎn)生的值也無法在 exec 函數(shù)的外部起作用���。
>>> result = exec('1 + 1')
>>> print(result)
None
兩個函數(shù)中的 globals 和 locals 參數(shù)���,起到的是白名單的作用,通過限定命名空間的范圍����,防止作用域內(nèi)的數(shù)據(jù)被濫用。
conpile() 函數(shù)編譯后的 code 對象���,可作為 eval 和 exec 的第一個參數(shù)�����。compile() 也是個神奇的函數(shù)�,我翻譯的上一篇文章《Python騷操作:動態(tài)定義函數(shù)》就演示了一個動態(tài)定義函數(shù)的操作���。
吊詭的局部命名空間:前面講到了 exec() 函數(shù)內(nèi)的變量是可以改變原有命名空間的�,然而也有例外���。
def foo():
exec('y = 1 + 1\nprint(y)')
print(locals())
print(y)
foo()
按照前面的理解��,預(yù)期的結(jié)果是局部變量中會存入變量 y��,因此兩次的打印結(jié)果都會是 2�,然而實際上的結(jié)果卻是:
2
{'y': 2}
Traceback (most recent call last):
...(略去部分報錯信息)
print(y)
NameError: name 'y' is not defined
明明看到了局部命名空間中有變量 y,為何會報錯說它未定義呢��?
原因與 Python 的編譯器有關(guān)���,對于以上代碼,編譯器會先將 foo 函數(shù)解析成一個 ast(抽象語法樹)�,然后將所有變量節(jié)點存入棧中,此時 exec() 的參數(shù)只是一個字符串�,整個就是常量,并沒有作為代碼執(zhí)行��,因此 y 還不存在��。直到解析第二個 print() 時���,此時第一次出現(xiàn)變量 y �����,但因為沒有完整的定義��,所以 y 不會被存入局部命名空間����。
在運行期,exec() 函數(shù)動態(tài)地創(chuàng)建了局部變量 y �,然而由于 Python 的實現(xiàn)機(jī)制是“運行期的局部命名空間不可改變 ”,也就是說這時的 y 始終無法成為局部命名空間的一員�����,當(dāng)執(zhí)行 print() 時也就報錯了�。
至于為什么 locals() 取出的結(jié)果有 y,為什么它不能代表真正的局部命名空間���?為什么局部命名空間無法被動態(tài)修改��?可以查看我之前分享的《Python 動態(tài)賦值的陷阱》�,另外�,官方的 bug 網(wǎng)站中也有對此問題的討論,查看地址:https://bugs.python.org/issue4831
若想把 exec() 執(zhí)行后的 y 取出來的話�,可以這樣:z = locals()['y'] ,然而如果不小心寫成了下面的代碼�,則會報錯:
def foo():
exec('y = 1 + 1')
y = locals()['y']
print(y)
foo()
#報錯:KeyError: 'y'
#把變量 y 改為其它變量則不會報錯
KeyError 指的是在字典中不存在對應(yīng)的 key 。本例中 y 作了聲明��,卻因為循環(huán)引用而無法完成賦值,即 key 值對應(yīng)的 value 是個無效值���,因此讀取不到����,就報錯了�。
此例還有 4 個變種,我想用一套自恰的說法來解釋它們��,但嘗試了很久�,未果。留個后話吧�����,等我想明白�,再單獨寫一篇文章����。
4、為什么要慎用 eval() ��?
很多動態(tài)的編程語言中都會有 eval() 函數(shù)��,作用大同小異,但是���,無一例外���,人們會告訴你說,避免使用它�。
為什么要慎用 eval() 呢?主要出于安全考慮�,對于不可信的數(shù)據(jù)源,eval 函數(shù)很可能會招來代碼注入的問題���。
>>> eval("__import__('os').system('whoami')")
desktop-fa4b888\pythoncat
>>> eval("__import__('subprocess').getoutput('ls ~')")
#結(jié)果略�����,內(nèi)容是當(dāng)前路徑的文件信息
在以上例子中�,我的隱私數(shù)據(jù)就被暴露了���。而更可怕的是����,如果將命令改為rm -rf ~ ,那當(dāng)前目錄的所有文件都會被刪除干凈�。
針對以上例子,有一個限制的辦法��,即指定 globals 為 {'__builtins__': None} 或者{'__builtins__': {}} ���。
>>> s = {'__builtins__': None}
>>> eval("__import__('os').system('whoami')", s)
#報錯:TypeError: 'NoneType' object is not subscriptable
__builtins__ 包含了內(nèi)置命名空間中的名稱����,在控制臺中輸入 dir(__builtins__) �����,就能發(fā)現(xiàn)很多內(nèi)置函數(shù)�����、異常和其它屬性的名稱���。在默認(rèn)情況下,eval 函數(shù)的 globals 參數(shù)會隱式地攜帶__builtins__ ���,即使是令 globals 參數(shù)為 {} 也如此���,所以如果想要禁用它���,就得顯式地指定它的值。
上例將它映射成 None��,就意味著限定了 eval 可用的內(nèi)置命名空間為 None�����,從而限制了表達(dá)式調(diào)用內(nèi)置模塊或?qū)傩缘哪芰Α?
但是��,這個辦法還不是萬無一失的�,因為仍有手段可以發(fā)起攻擊。
某位漏洞挖掘高手在他的博客中分享了一個思路�����,令人大開眼界���。其核心的代碼是下面這句�����,你可以試試執(zhí)行�����,看看輸出的是什么內(nèi)容��。
>>> ().__class__.__bases__[0].__subclasses__()
關(guān)于這句代碼的解釋����,以及更進(jìn)一步的利用手段,詳見:https://www.tuicool.com/articles/jeaqe2n
另外還有一篇博客�����,不僅提到了上例的手段���,還提供了一種新的思路:
#警告:千萬不要執(zhí)行如下代碼���,后果自負(fù)。
>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})
這行代碼會導(dǎo)致 Python 直接 crash 掉�,詳見:https://segmentfault.com/a/1190000011532358
除了黑客的手段,簡單的內(nèi)容也能發(fā)起攻擊���。像下例這樣的寫法�����, 將在短時間內(nèi)耗盡服務(wù)器的計算資源�。
>>> eval("2 ** 888888888", {"__builtins__":None}, {})
如上所述�����,我們直觀地展示了 eval() 函數(shù)的危害性�����,然而�,即使是 Python 高手們小心謹(jǐn)慎地使用,也不能保證不出錯�。
在官方的 dumbdbm 模塊中,曾經(jīng)(2014年)發(fā)現(xiàn)一個安全漏洞�����,攻擊者通過偽造數(shù)據(jù)庫文件����,可以在調(diào)用 eval() 時發(fā)起攻擊。(詳情:https://bugs.python.org/issue22885)
無獨有偶�����,在上個月(2019.02),有核心開發(fā)者針對 Python 3.8 也提出了一個安全問題����,提議不在 logging.config 中使用 eval() 函數(shù),目前該問題還是 open 狀態(tài)���。(詳情:https://bugs.python.org/issue36022)
如此種種�,足以說明為什么要慎用 eval() 了��。同理可證�,exec() 函數(shù)也得謹(jǐn)慎使用。
5�����、安全的替代用法
既然有種種安全隱患�,為什么要創(chuàng)造出這兩個內(nèi)置方法呢?為什么要使用它們呢�����?
理由很簡單�,因為 Python 是一門靈活的動態(tài)語言。與靜態(tài)語言不同�,動態(tài)語言支持動態(tài)地產(chǎn)生代碼�����,對于已經(jīng)部署好的工程,也可以只做很小的局部修改�,就實現(xiàn) bug 修復(fù)。
那有什么辦法可以相對安全地使用它們呢���?
ast 模塊的 literal() 是 eval() 的安全替代��,與 eval() 不做檢查就執(zhí)行的方式不同��,ast.literal() 會先檢查表達(dá)式內(nèi)容是否有效合法�。它所允許的字面內(nèi)容如下:
strings, bytes, numbers, tuples, lists, dicts, sets, booleans, 和 None
一旦內(nèi)容非法��,則會報錯:
import ast
ast.literal_eval("__import__('os').system('whoami')")
報錯:ValueError: malformed node or string
不過��,它也有缺點:AST 編譯器的棧深(stack depth)有限�����,解析的字符串內(nèi)容太多或太復(fù)雜時�,可能導(dǎo)致程序崩潰。
至于 exec() ����,似乎還沒有類似的替代方法�,畢竟它本身可支持的內(nèi)容是更加復(fù)雜多樣的�。
最后是個建議:搞清楚它們的區(qū)別與運行細(xì)節(jié)(例如前面的局部命名空間內(nèi)容),謹(jǐn)慎使用��,限制可用的命名空間�����,對數(shù)據(jù)源作充分校驗�����。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報名CDA認(rèn)證考試��,點擊>>>
“CDA報名”
了解CDA考試詳情���;
? 想學(xué)習(xí)CDA考試教材����,點擊>>> “CDA教材” 了解CDA考試詳情��;
? 想加入CDA考試題庫�����,點擊>>> “CDA題庫” 了解CDA考試詳情;
? 想了解CDA考試含金量���,點擊>>> “CDA含金量” 了解CDA考試詳情����;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330