Python 3.14即将引入t-strings：更安全、更灵活的字符串处理新时代

敖行客 Allthinker

于 2025-04-23 07:45:00 发布

阅读量624

点赞数 13

CC 4.0 BY-SA版权

文章标签：安全

本文链接：https://blog.youkuaiyun.com/2401_86652632/article/details/147425470

在Python 3.6引入f-strings之后，这种简洁、易读且功能强大的字符串格式化方式迅速赢得了开发者们的青睐。然而，f-strings的滥用也带来了一些安全隐患，比如在处理包含用户输入的字符串时容易引发SQL注入或跨站脚本攻击（XSS）问题。如今，Python 3.14即将引入的t-strings（模板字符串）为我们带来了更安全、更灵活的字符串处理解决方案，这一版本预计将在2025年底发布。

什么是t-strings？

t-strings是f-strings的泛化形式，但与会立即转换为字符串的f-strings不同，t-strings会生成一个新的类型string.templatelib.Template。这个新类型不是字符串，它没有自己的__str__()方法，因此不能直接将其转换为有用的字符串值。开发者或库需要先对Template实例进行处理，然后才能安全地转义动态内容并将其用于实际应用。

例如，我们可以使用t-strings构建一个HTML元素，并通过专门的库函数对其进行安全转义：

from string.templatelib import Template

evil = "<script>alert('bad')</script>"
template = t"<p>{evil}</p>"
safe_html = html(template)

在这里，html()函数接收一个Template对象并返回一个安全转义后的字符串，从而避免了XSS攻击的风险。

t-strings的灵活性

t-strings的灵活性不仅体现在安全性上，还在于它能够支持更复杂的字符串处理操作。例如，我们可以通过t-strings构建HTML元素，并利用库函数对其进行进一步处理：

attributes = {"src": "roquefort.jpg", "alt": "Yum"}
template = t"<img {attributes} />"
element = html(template)

在这个例子中，html()函数可以接收模板中的属性，并生成一个完整的<img>标签。

对于熟悉JavaScript的开发者来说，t-strings可能会让他们联想到JavaScript中的标签模板。实际上，t-strings正是Python中与之对应的特性。

如何使用t-strings？

为了支持字符串处理，Template对象为开发者提供了访问字符串及其插值值的方法，这些值在组合成最终字符串之前可以被单独处理。

Template对象的.strings和.values属性会返回元组：

name = "World"
template = t"Hello {name}!"
print(template.strings)  # 输出：('Hello ', '!')
print(template.values)   # 输出：('World',)

此外，还可以直接迭代Template对象：

name = "World"
template = t"Hello {name}!"
contents = list(template)
print(contents)  # 输出：['Hello ', <Interpolation object at 0x...>, '!']

开发者还可以访问每个插值的详细信息：

name = "World"
template = t"Hello {name!s:>8}!"
print(template.interpolations[0].value)      # 输出：World
print(template.interpolations[0].expression) # 输出：name
print(template.interpolations[0].conversion) # 输出：s
print(template.interpolations[0].format_spec) # 输出：>8

除了支持 t"foo"这种字面量形式外，还可以直接实例化Template对象：

from string.templatelib import Template, Interpolation

template = Template("Hello ", Interpolation(value="World", expression="name"), "!")

在这种情况下，字符串和插值可以以任意顺序提供给Template构造函数。

t-strings的示例应用

假设我们想要编写一个将模板中所有单词转换为猪拉丁语的函数：

def pig_latin(template: Template) -> str:
    """将模板转换为猪拉丁语"""
    result = []
    for item in template:
        if isinstance(item, str):
            result.append(item)
        else:
            word = item.value
            if word and word[0] in "aeiou":
                result.append(word + "yay")
            else:
                result.append(word[1:] + word[0] + "ay")
    return "".join(result)

name = "world"
template = t"Hello {name}!"
print(pig_latin(template))  # 输出：Hello orldway!

这个例子虽然有些搞笑，但它展示了t-strings的强大功能。更多实用的示例可以在PEP 750示例仓库中找到。

t-strings的未来展望

t-strings的引入将使Python的字符串处理更加安全和灵活。我们期待看到它在各种库和框架中得到广泛应用，特别是在处理用户输入的场景中。

此外，我们还希望工具生态系统能够适应t-strings的发展。例如，我们希望看到代码格式化工具black和ruff能够格式化t-strings的内容，以及vscode能够对常见类型的t-strings内容（如HTML或SQL）进行语法着色。

Dave Peck在与Jim、Paul、Koudai、Lysandros和Guido等人的合作中，以及与Python社区众多成员的在线交流中，共同推动了PEP 750的诞生。我们迫不及待地想看看开发者们在t-strings发布后会用它构建出什么样的精彩应用！

随着Python 3.14的发布日益临近，t-strings这一新特性无疑将为Python开发者带来更强大、更安全的字符串处理能力。无论是Web开发、数据库交互还是普通文本处理，t-strings都能发挥其独特的优势，帮助我们构建更健壮、更安全的应用程序。让我们共同期待这一新特性的到来，并积极探索它在实际项目中的应用潜力。

科技脉搏，每日跳动。

与敖行客 Allthinker一起，创造属于开发者的多彩世界。