在python中eval是什么意思？为什么要慎用！（python eval是什么意思）

在python中eval是什么意思？为什么要慎用！（python eval是什么意思）

eval是Python的一个内置函数，这个函数的作用是，返回传入字符串的表达式的结果。想象一下变量赋值时，将等号右边的表达式写成字符串的格式，将这个字符串作为eval的参数，eval的返回值就是这个表达式的结果。a = eval('b+c')

python中eval函数的用法十分的灵活，但也十分危险，安全性是其最大的缺点。本文从灵活性和危险性两方面介绍eval。

强大之处

举几个例子感受一下，字符串与list、tuple、dict的转化。

a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]"

b = eval(a)

print(b)

Out[3]: [[1, 2], [3, 4], [5, 6], [7, 8], [9, 0]]

type(b)

Out[4]: list

a = "{1: 'a', 2: 'b'}"

b = eval(a)

b

Out[7]: {1: 'a', 2: 'b'}

type(b)

Out[8]: dict

a = "([1,2], [3,4], [5,6], [7,8], (9,0))"

b = eval(a)

print(b)

Out[11]: ([1, 2], [3, 4], [5, 6], [7, 8], (9, 0))

eval的语法格式如下：

eval(expression[, globals[, locals]])

expression ： 字符串

globals ： 变量作用域，全局命名空间，如果被提供，则必须是一个字典对象。

locals ： 变量作用域，局部命名空间，如果被提供，可以是任何映射对象。

总之

当locals参数为空，globals参数不为空时，查找globals参数中是否存在变量，并计算。

当两个参数都不为空时，先查找locals参数，再查找globals参数，locals参数中同名变量会覆盖globals中的变量。

危险之处

eval虽然方便，但是要注意安全性，可以将字符串转成表达式并执行，就可以利用执行系统命令，删除文件等操作。

假设用户恶意输入。比如：

import os

res = eval('os.popen("dir")')

#os.popen('')会执行传入的命令，并返回

#可以通过 read() 读取返回的数据

res.read()

dir 是windows系统列出当前目录的命令，和linux 系统 ls类似

可以看到，这里得到了，目录，但是我们如果执行的是删除呢？rm -rf  这是一个程序员从删库，到跑路的故事，你在系统里添加了这么一条eval 你知道多可怕吗

所以使用eval，一方面享受他的了灵活性同时，也要注意安全性。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。