标签：Python 列表 安全 literal eval 字符串 表达式

问题

想要将一段列表形式的字符串转为 list，但是担心这个动态的字符串可能是恶意的代码？使用 eval 将带来安全隐患。比如：

# 期望是
eval('[1, 2, 3]')

# 实际上是
eval("os.popen('rm -rf *')")

解决方案

使用 ast.literal_eval 可以很好的避免这个问题，该函数可以安全执行仅包含文字的表达式字符串。支持的对象有字符串、字节、数字、元组、列表、字典、集合、 布尔值、None 和 Ellipsis。这些是可以嵌套的，比如以字典作为元素的列表：

>>> from ast import literal_eval
>>> literal_eval("[{'name': 'john', 'location': 'halo7'}]")
[{'name': 'john', 'location': 'halo7'}]

注意 literal_eval 不可以执行任何复杂的表达式，比如包含运算符或是有索引的表达式都是不支持的，会直接抛出异常。这也保证了它不会执行恶意代码。

拓展

• 使用 literal_eval 时，足够复杂或是巨大的字符串可能导致 Python 解释器的崩溃，因为 Python 的 AST 编译器是有栈深限制的
• literal_eval 解析异常时，可能会抛出 ValueError, TypeError, SyntaxError, MemoryError 或 RecursionError，这取决于传入的字符串

标签：Python,列表,安全,literal,eval,字符串,表达式
来源： https://www.cnblogs.com/kingron/p/15667558.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。