上午写了一段代码,像拿出浏览器request中的properties字段(格式是{‘rating': 'XXX', 'swf_href': 'XXX'}),然后将它转化成dict,方便取出其中的一个值
代码写成这样:
rating = eval(request.get_form_var('properties', '')).get('rating', '')
这段代码存在巨大的安全隐患:
eval 函数的功能是将字符串生成语句执行,黑客们可以恶意的像服务器发request,然后将properties字段注入各种恶意代码,这些代码都将被执行,例如:
eval(import os;os.system(‘rm ./*’); )
eval('sqlstore.execute(update......)')
其实,这里用json就完全可以解决问题:
import json
rating = json.loads('properties').get('rating', '')