第10.5节 使用__all__定义Python模块导入白名单

最新推荐文章于 2024-09-17 13:30:28 发布
原创 最新推荐文章于 2024-09-17 13:30:28 发布 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Python

本文详细介绍了Python模块中的__all__机制,这是一种模块成员的白名单控制机制,用于指定哪些成员可以通过from模块名import*的方式导入。文章通过实例演示了__all__机制的工作原理,对比了不同导入方式下的成员访问情况。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、 引言
《第10.4节 Python模块的弱封装机制》介绍了Python模块的的弱封装机制,除了使用弱封装机制来从一定程度上防止导入特定成员外,Python模块中还提供可另外一种类似白名单的机制来控制导入的成员,这个机制就是在模块中定义__all__变量,将__all__的值设置成一个列表,只有列表中的模块成员才能被导入。

二、 方法介绍
在模块内部定义一个模块内的全局变量__all__,其元素是每个需要允许导出的成员名字符串。
all = [‘成员名1’,…,‘成员名n’]

三、 案例
1、 我们定义一个imptest模块,包括三个成员变量和5个成员函数,内容如下:

#imptest.py
__all__=['f','_f1','var2','_var3']
var1,var2,_var3='imptest var1','imptest var2','imptest _var3'
_var2
def f():
    print("execute ftest function in imptest....")
def _f1():
    print("execute _f1(单下划线开头) function in imptest....")
def __f2():
    print("execute __f2(双下划线开头) function in imptest....")
def __f3__():
    print("execute __f3__(双下划线开头结尾) function in imptest....")
def f4():
    print("execute f4 function in imptest....")
    
print("Now in imptest module!")

2、 使用“from 模块名 import *”导入imptest模块的成员并执行验证是否导入成功

>>> from imptest import *
Now in imptest module!
>>> var1
Traceback (most recent call last):
  File "<pyshell#1>", line 1, in <module>
    var1
NameError: name 'var1' is not defined
>>> var2
'imptest var2'
>>> _var3
'imptest _var3'
>>> f()
execute ftest function in imptest....
>>> _f1()
execute _f1(单下划线开头) function in imptest....
>>> __f2()
Traceback (most recent call last):
  File "<pyshell#6>", line 1, in <module>
    __f2()
NameError: name '__f2' is not defined
>>>

执行截图:
在这里插入图片描述
从上述执行情况来看,只有在__all__列表中的成员才能通过“from imptest import *”导入,带下划线的也会正常导入,没有在__all__列表中的成员计算无下划线开头也不能导入。
3、 直接使用“import 模块名”导入
源代码:

>>> import imptest
Now in imptest module!
>>> imptest.f()
execute ftest function in imptest....
>>> imptest._f1()
execute _f1(单下划线开头) function in imptest....
>>> imptest.__f2()
execute __f2(双下划线开头) function in imptest....
>>> imptest.__f3__()
execute __f3__(双下划线开头结尾) function in imptest....
>>> imptest.var1,imptest.var2,imptest._var3
('imptest var1', 'imptest var2', 'imptest _var3')
>>>

执行截屏:
在这里插入图片描述
从上述执行情况来看,使用“import 模块名”导入后,所有成员都可以正常访问,不受__all__列表的影响。

四、 总结
使用__all__定义模块访问白名单:

  1. 只对“from 模块名 import *”导入产生影响,对“import 模块名”或“from 模块名 import 成员名”不产生影响;
  2. 在__all__列表中的元素不论是否带下划线开头,“from 模块名 import *”都会导入,不受模块的缺省封装机制影响,可以说这是另一种方式的封装;
  3. 在模块定义__all__变量后,可以使用“模块.__all__”查看模块建议使用的模块成员。

__all__变量可以认为给模块定义了一个开放的公共接口。通常来说,只有__all__变量列出的模块属性,才是该模块建议外界使用的。因此,为一个大模块定义__all__ 变量,就可以给调用程序建议过滤不需要使用的变量、函数和类,只使用__all__定义的白名单属性。

前面章节介绍过 dir(模块名)可返回模块或类所包含的全部程序单元(包括变量、函数、类和方法等),但直接使用 dir() 函数默认会列出模块内所有的属性,包括以下划线开头的属性,如果模块定义了__all__ 变量,则建议调用者只关注__all__ 变量限定的属性。

Python中的`__all__`魔法函数
涛哥聊Python
01-08 952
_all____all__是Python中用于限制模块导入的有用工具,它可以明确指定哪些名称应该被视为模块的公共接口。通过合理使用__all__,可以提高代码的可读性、降低名称冲突的风险,并更好地控制模块的外部可见性。
解码 __all__ - 模块接口的守护者
weixin_43887510的博客
04-04 1056
Python模块系统是其灵活性和可扩展性的基石之一。当我们用import引入模块时,如何控制哪些内容暴露给外部,哪些内容保持“低调”?在“Python 解码”系列的第五篇中,我们将聚焦一个不起眼却至关重要的变量——__all__。它就像模块的“门卫”,守护着公共接口,防止内部细无意泄露。你是否曾在使用时感到困惑,不知道导入了什么?或者在设计模块时希望明确哪些功能是给外部使用的?通过本文,你将理解__all__的工作原理及其在模块设计中的妙用。让我们一起揭开这位守护者的神秘面纱吧!__all__
Python中的__all__
shimly123456的博客
05-22 160
_all__可以在模块级别暴露接口,形式如下: = [“foo”, “bar”]
python中的__all__
重剑无锋博客
04-13 1036
以“from 模块import *”形式导入模块,当该模块all 变量时,只能导入该变量指定的成员,未指定的成员是无法导入的。 例如: #demo.py def a(): print("1") def b(): print("2") def c(): print("3") __all__ = ["a","b"] ```python #test.py from demo import * a() b() c() ...
Python】__all__的作用/模块导入
算法与编程之美
07-24 359
关于__all__,如果没有上述简洁明了的介绍,真正遇到了,还真搞不明白!希望本文对你能有所帮助。
python __all__机制_Python学习笔记(8):面向对象
weixin_39634052的博客
12-11 327
前面提到的操作函数和语句块是传统的面向过程编程,而编写大型程序,通常采用面向对象编程。类和对象是面向对象编程的两个主要方面,类创建一个新类型,而对象是类的实例。Python没有什么值类型与引用类型之分,它把所有事物统统看作是类。类使用class关键字来创建。1. Self类的方法与普通的函数只有一个特别的区别——它们必须有一个额外的第一个参数名称,但是在调用这个方法的时候你不为这个参数赋值,Pyt...
10.5 使用__all__定义Python模块导入白名单.rar
09-16
为实现这一目标,Python提供了一个特殊变量`__all__`,它允许我们定义模块导入的“白名单”。在本中,我们将深入探讨如何使用`__all__`来精细化管理模块导入行为。 首先,让我们了解`__all__`的基本用法。当一...
是在app.py中进行修改,替换libinjection.so app.py: from flask import Flask, request, jsonify import ctypes import numpy as np from tensorflow.keras.models import load_model from tensorflow.keras.preprocessing.sequence import pad_sequences import pickle import json from urllib.parse import unquote import html import sys import base64 import re from utils.makelog import log_detection import os import logging from logging.handlers import RotatingFileHandler os.environ['TF_KERAS'] = '1' os.environ['TF_CPP_MIN_LOG_LEVEL'] = '2' # 1=警告,2=错误,3=静默 os.environ['TF_ENABLE_ONEDNN_OPTS'] = '0' # 关闭 oneDNN 提示 app = Flask(__name__) log_dir = os.path.join(os.path.dirname(os.path.abspath(__file__)), 'utils') os.makedirs(log_dir, exist_ok=True) # 配置文件日志处理器(10MB轮换,保留10个备份) file_handler = RotatingFileHandler( os.path.join(log_dir, 'app.log'), maxBytes=10*1024*1024, backupCount=10 ) file_handler.setFormatter(logging.Formatter( '%(asctime)s - %(name)s - %(levelname)s - %(message)s' )) # 设置日志级别(DEBUG/INFO/WARNING/ERROR/CRITICAL) app.logger.setLevel(logging.INFO) file_handler.setLevel(logging.INFO) app.logger.addHandler(file_handler) # --- 加载 libinjection --- try: libinjection = ctypes.CDLL('/usr/local/lib/libinjection.so', mode=ctypes.RTLD_GLOBAL) libinjection.libinjection_sqli.argtypes = [ ctypes.c_char_p, ctypes.c_size_t, ctypes.c_char_p, ctypes.c_size_t ] libinjection.libinjection_sqli.restype = ctypes.c_int app.logger.info("Libinjection 加载成功") print("Libinjection 加载成功(控制台输出)") except Exception as e: app.logger.error(f"Libinjection 加载失败: {str(e)}", exc_info=True) exit(1) # --- 加载深度学习模型和辅助对象 --- # try: # model = load_model('/usr/local/flasktest/model/model1.h5') # app.logger.info("模型 model1.h5 加载成功") # with open('/usr/local/flasktest/model/model1.pkl', 'rb') as f: # tokenizer, tfidf_vectorizer = pickle.load(f) # app.logger.info("模型辅助对象 model1.pkl 加载成功") # max_seq_length = int(np.load("/usr/local/flasktest/model/max_seq_length1.npy")) # app.logger.info(f"最大序列长度加载成功: {max_seq_length}") # with open('/usr/local/flasktest/model/best_threshold1.json', 'r') as f: # best_threshold = json.load(f)['threshold'] # app.logger.info(f"检测阈值加载成功: {best_threshold}") # except Exception as e: # app.logger.error(f"模型加载失败: {str(e)}", exc_info=True) # exit(1) # --- 解码辅助函数 --- def try_base64_decode(s): try: if len(s) % 4 != 0: return s decoded = base64.b64decode(s).decode('utf-8', errors='ignore') if all(32 <= ord(c) <= 126 or c in '\t\r\n' for c in decoded): return decoded return s except Exception: return s def deep_url_decode(s, max_depth=3): decoded = s for _ in range(max_depth): new_decoded = unquote(decoded) if new_decoded == decoded: break decoded = new_decoded return decoded # --- 提取 HTTP 请求中的潜在 SQL 内容 --- def extract_sql_candidates(data): candidates = [] def extract_strings(obj): EXCLUDED_KEYS = {'uri', 'path', 'security', 'PHPSESSID', 'session_id','Login', 'login', 'submit', 'Submit'} STATIC_RESOURCES = {'.css', '.js', '.png', '.jpg', '.jpeg', '.gif', '.ico', '.woff', '.woff2'} if isinstance(obj, dict): for key, value in obj.items(): if key in EXCLUDED_KEYS: continue # 检查值是否为静态资源(无需检测) if isinstance(value, str) and any(ext in value.lower() for ext in STATIC_RESOURCES): continue extract_strings(value) # 递归调用,仅传递值 elif isinstance(obj, list): for item in obj: extract_strings(item) elif isinstance(obj, str): text = obj # 多层 URL 解码 text = deep_url_decode(text) # HTML 实体解码 text = html.unescape(text) # Unicode 转义解码 try: text = text.encode().decode('unicode_escape') except Exception: pass # Base64 解码 text = try_base64_decode(text) if len(text) < 1000: candidates.append(text) extract_strings(data) return candidates # --- 检测策略 --- # def should_use_libinjection(text): # return text.isdigit() or ' ' not in text or len(text) > 600 # --- 检测逻辑 --- def detect_one(query): if re.match(r'^\/.*\.(php|html|js)$', query): return { "检测结果": "正常", "检测方式": "URI过滤", "可信度": 1.0 } result_buf = ctypes.create_string_buffer(8) is_libi_sqli = libinjection.libinjection_sqli(query.encode('utf-8'), len(query),result_buf,ctypes.sizeof(result_buf)) if is_libi_sqli: return { "检测结果": "存在SQL注入", "检测方式": "Libinjection", } else: return { "检测结果": "正常", "检测方式": "Libinjection", } # seq = tokenizer.texts_to_sequences([query]) # padded = pad_sequences(seq, maxlen=max_seq_length) # tfidf_vec = tfidf_vectorizer.transform([query]).toarray() # prob = model.predict([padded, tfidf_vec], verbose=0)[0][0] # if prob > best_threshold: # return { # "检测结果": "存在SQL注入", # "检测方式": "CNN-BiLSTM", # "可信度": float(prob), # } # else: # return { # "检测结果": "正常", # "检测方式": "CNN-BiLSTM", # "可信度":float(1 - prob), # } @app.route('/') def home(): return "SQL 注入检测系统已启动" @app.route('/detect', methods=['POST']) def detect(): app.logger.info(f"接收到请求: {request.json}") try: data = request.get_json() if not data: return jsonify({"error": "缺少 JSON 请求体"}), 400 ip = request.remote_addr candidates = extract_sql_candidates(data) results = [] for query in candidates: result = detect_one(query) log_detection(ip, query, result) results.append(result) return jsonify({"detections": results}) except Exception as e: return jsonify({"error": f"检测过程中发生错误: {str(e)}"}), 500 if __name__ == '__main__': app.run(host='0.0.0.0', port=5000, debug=True)
最新发布
06-29
- 使用白名单机制排除合法查询 2. **ModSecurity 能否检测新型 SQL 注入攻击?** - 支持基于正则和语义分析的混合检测 - 可通过自定义规则扩展检测能力 3. **如何将 ModSecurity 日志集成到 ELK 系统?** - ...
python沙箱逃逸总结
weixin_44576725的博客
04-14 4318
python沙箱逃逸总结 让用户提交 Python 代码并在服务器上执行,是一些 OJ、量化网站重要的服务,很多 CTF 也有类似的题。为了不让恶意用户执行任意的 Python 代码,就需要确保 Python 运行在沙箱中。沙箱经常会禁用一些敏感的函数,例如 os,研究怎么逃逸、防护这类沙箱还是蛮有意思的。 前言 Python 的沙箱逃逸的最终目标就是执行系统任意命令,次一点的写文件,再次一点的读文件。 顺便安利一本书:《流畅的 Python》。这本书有很多中高阶知识点,很全面而且讲的很清楚,如果你看过,相
Python3网络爬虫开发实战(15)Scrapy 框架的使用(第一版)
bigcrab的博客
09-17 4694
scrapy 使用介绍
python ipset管理 增删白名单的方法
09-19
今天小编就为大家分享一篇python ipset管理 增删白名单的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
python 线程锁_谈谈Python线程中的“锁机制”
weixin_39983993的博客
11-26 248
原标题:谈谈Python线程中的“锁机制”何为Lock( 锁 )?如何使用Lock( 锁 )?为何要使用锁?可重入锁(RLock)防止死锁的加锁机制饱受争议的GIL(全局锁)何为Lock( 锁 )?何为 Lock( 锁 ),在网上找了很久,也没有找到合适的定义。可能 锁 这个词已经足够直白了,不需要再解释了。但是,对于新手来说,我还是要说下我的理解。我自己想了个生活中例子来看下。有一个奇葩的房东,...
Python中__all__是什么?
weixin_64123373的博客
08-12 714
Python中,__all__是一个特殊的变量,用于定义当从模块使用from module_name import *语句时,应该导入哪些符号。
python关于__all__的定义
Huntinux
04-11 875
原文: __all__ See import. The public names defined by a module are determined by checking themodule's namespace for a variable named __all__; if defined, itmust be a sequence of strings which
Python中的`__all__`魔法函数使用详解
Rocky006的博客
01-24 7541
Python是一门灵活而强大的编程语言,提供了各种机制来控制模块导入和访问。其中,__all__魔法函数是一种用于限制模块导入的机制,可以明确指定哪些变量、函数或类可以被导入。本文将深入探讨__all__的作用、用法以及示例,以帮助大家更好地理解和使用这一功能。
python __all__的作用
_Tsun 的博客
03-28 1449
""" mytest.py """ __all__ = ["f1"] def f1(): print("这是f1") def f2(): print("这是f2") """ my2.py中 """ from mytest import * f1() # 会打印 f2() # 会报错,没有这个文件 """ 如果是 import mytest ,那么f1 f2都可以使用 fr...
python添加白名单
weixin_46327368的博客
03-25 1020
功能: 自动添加白名单 import os import re import time from datetime import datetime import platform nowTime=datetime.now().strftime('%Y%m%d%H%M-%s') print(nowTime) iptable_name="iptables" add_iptable="iptables_add" key_word="###DEFAULT###" iptable_bak="iptables-"+no
pythonall()函数介绍
MAOZI8的博客
05-23 4585
Python 中的all()函数是一个内置函数,用于判断一个可迭代对象(如列表、元组、字符串等)中的所有元素是否都为True(或者更准确地说,是否都等价于True)。
python模块中的_all__属性的作用
weixin_45272371的博客
08-16 709
python模块中的特殊变量_all__的用法总结。一、python模块中的_all__属性的作用顾名思义:我们如果导一个包里面的函数或者变量,会把暴露在外部的变量和函数导出。那么有些变量或者函数不想被使用使用。那么就怎么做呢?__all__是Python中的一个特殊变量,它用于指定一个模块中哪些成员可以被导入到当前命名空间中。它是一个列表类型的变量,包含了模块中允许被导入的成员的名称。当使用from 模块import *形式导入模块时,只有__all__中列出的成员才会被导入,其他成员不会被导入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LaoYuanPython

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值