差点毁掉豆瓣的一行代码

上午写了一段代码,像拿出浏览器request中的properties字段(格式是{‘rating': 'XXX', 'swf_href': 'XXX'}),然后将它转化成dict,方便取出其中的一个值

代码写成这样:

rating = eval(request.get_form_var('properties', '')).get('rating', '')

这段代码存在巨大的安全隐患:

eval 函数的功能是将字符串生成语句执行,黑客们可以恶意的像服务器发request,然后将properties字段注入各种恶意代码,这些代码都将被执行,例如:

eval(import os;os.system(‘rm ./*’); )

eval('sqlstore.execute(update......)')

 

其实,这里用json就完全可以解决问题:

import json
rating = json.loads('properties').get('rating', '')

 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值