差点毁掉豆瓣的一行代码

上午写了一段代码，像拿出浏览器request中的properties字段（格式是{‘rating': 'XXX', 'swf_href': 'XXX'}），然后将它转化成dict，方便取出其中的一个值

代码写成这样：

rating = eval(request.get_form_var('properties', '')).get('rating', '')

这段代码存在巨大的安全隐患：

eval 函数的功能是将字符串生成语句执行，黑客们可以恶意的像服务器发request，然后将properties字段注入各种恶意代码，这些代码都将被执行，例如：

eval（import os;os.system(‘rm ./*’); ）

eval('sqlstore.execute(update......)')

 

其实，这里用json就完全可以解决问题：

import json
rating = json.loads('properties').get('rating', '')