python eval和其替代函数ast.literal_eval方法

最新推荐文章于 2025-09-25 19:18:35 发布
转载 最新推荐文章于 2025-09-25 19:18:35 发布 · 5.6k 阅读 · 7 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/sinat_33924041/article/details/88350569

本文详细介绍了Python中的eval函数及其潜在的安全风险,并对比介绍了更安全的ast.literal_eval方法,通过实例展示了如何使用这两种方法将字符串转换为Python的数据结构。

一、eval函数

原文链接:https://blog.youkuaiyun.com/sinat_33924041/article/details/88350569
eval()官方文档里面给出来的功能解释是:将字符串string对象转化为有效的表达式参与求值运算返回计算结果。


>>> s='8*8'
>>> eval(s)
64
>>> eval('2+5*4')
22
>>> x=1
>>> y=4
>>> eval('x+y')
5
>>> eval('98.9')
98.9
>>> eval('9.9\n')
9.9
>>> eval('9.9\n\t\r  \t\r\n')
9.9

最有用的一个是eval可以将字符串转换成字典,列表,元组


>>> l = "[2,3,4,5]"
>>> ll=eval(l)
>>> ll
[2, 3, 4, 5]
>>> type(ll)
<type 'list'>
>>> d="{'name':'python','age':20}"
>>> dd=eval(d)
>>> type(dd)
<type 'dict'>
>>> dd
{'age': 20, 'name': 'python'}
>>> t='(1,2,3)'
>>> tt=eval(t)
>>> type(tt)
<type 'tuple'>
>>> tt
(1, 2, 3)
————————————————
原文链接:https://blog.csdn.net/sinat_33924041/article/details/88350569

eval()函数功能强大,但也很危险,若程序中有以下语句: s=input(‘please input:’) print (eval(s))
下面举几个被恶意用户使用的例子:
1、运行程序,如果用户恶意输入:
eval(“import(‘os’).system(‘ls -l’)”)
2、运行程序,如果用户恶意输入:
eval(“open(‘a.txt’).read()”)
如果,当前目录中恰好有一个文件,名为a.txt,则恶意用户变读取到了文件中的内容。
3、运行程序,如果用户恶意输入
如果,当前目录中恰好有一个文件,名为a.txt,则恶意用户删除了该文件。/q :指定静音状态。不提示您确认删除
eval(“import(‘os’).system(‘rm -rf a.txt’)”)

二、ast.literal_eval方法

ast.literal_eval是python针对eval方法存在的安全漏洞而提出的一种安全处理方式。
简单点说ast模块就是帮助Python应用来处理抽象的语法解析的。而该模块下的literal_eval()函数:则会判断需要计算的内容计算后是不是合法的Python类型,如果是则进行运算,否则就不进行运算。
比如下面查看系统文件的操作就会被拒绝,而只会执行合法的python类型,从而大大降低了系统的危险性

import ast

res = ast.literal_eval('1 + 1')
print(res)
# 2

res = ast.literal_eval('[1, 2, 3, 4]')
print(type(res))
# <class 'list'>

print(res)
# [1, 2, 3, 4]


res = ast.literal_eval("__import__('os').system('ls')")
# 报错如下:
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "/Users/didi/.pyenv/versions/3.6.4/lib/python3.6/ast.py", line 85, in literal_eval
    return _convert(node_or_string)
  File "/Users/didi/.pyenv/versions/3.6.4/lib/python3.6/ast.py", line 84, in _convert
    raise ValueError('malformed node or string: ' + repr(node))
ValueError: malformed node or string: <_ast.Call object at 0x10e63ca58>

# 所以出于安全考虑,对字符串进行类型转换的时候,最好使用ast.literal_eval()
Python函数 eval ast.literal_eval 的区别详解
南淮北安的博客
10-05 2万+
文章目录一、eval 函数二、ast.literal_eval 函数 一、eval 函数 Python中,如果要将字符串型的 list,tuple,dict 转变成原有的类型呢 ? 这个时候你自然会想到eval eval函数Python 中做数据类型的转换还是很有用的。 它的作用就是把数据还原成它本身或者是能够转化成的数据类型 string 转化为 list string 转化为 tupl...
Pythonast.literal_evaleval
longforone的博客
09-18 1514
Base64 是一种用于将二进制数据编码成 ASCII 字符的编码方式。它通常用于在网络传输或存储数据时,将二进制数据转换为可打印的字符,以便于传输存储。在 Python 中,可以使用base64模块来进行 Base64 编码解码操作。
Python里面的eval()函数
最新发布
weixin_46081608的博客
09-25 1203
eval()Python 中的一个内置函数,它的核心功能是将字符串当作有效的 Python 表达式进行解析并执行,并返回执行结果。但要注意:它执行的必须是有效的 Python 表达式(能有返回值的代码),不能是任意代码块(如 语句、 循环等)。例如 可以执行( 是表达式语句),但 会报错( 是代码块,不是表达式)。 :必选参数,需要执行的字符串表达式(必须是有效的 Python 表达式)。 :可选参数,指定全局作用域(字典形式),限制表达式可访问的全局变量。 :可选参数,指定局部作用域
pythoneval替代办法:ast.literal_eval
Neways的博客
11-11 1973
eval 优点:字符串与list、tuple、dict的转化 缺点:可以将字符串转成表达式并执行,就可以利用执行系统命令,删除文件等操作 json.loads() 将json转化为list,tuple,dict 但是需要字符串转化为json格式 ast.literal_eval() ast.literal_eval,优先识别是否为合法的python类型,对于不合法的数据类型(如命令执行),不解析不执行 且相比json.loads,不需要将字符串转化为json格式 ast.literal_eval('[1
python3 eval安全替代函数ast.literal_eval
whatday的专栏
10-25 6106
一、eval函数 eval()官方文档里面给出来的功能解释是:将字符串string对象转化为有效的表达式参与求值运算返回计算结果。 示例: >>> s='8*8' >>> eval(s) 64 >>> eval('2+5*4') 22 >>> x=1 >>> y=4 >>> eval...
[python] ast --- 抽象语法树 literal_eval替代eval
Moke
02-14 995
Abstract Syntax Trees即抽象语法树。Astpython源码到字节码的一种中间产物,借助ast模块可以从语法树的角度分析源码结构。此外,我们不仅可以修改执行语法树,还可以将Source生成的语法树unparse成python源码。因此astpython源码检查、语法分析、修改代码以及代码调试等留下了足够的发挥空间。 AST简介 Python官方提供的CPython解释器对p...
python 笔记ast.literal_eval
qq_40206371的博客
04-25 2921
Python 标准库ast模块中的一个函数,用于安全地评估表示 Python 字面量或容器(如列表、字典、元组、集合)的字符串。
Python函数evalast.literal_eval的区别详解
09-21
### Python函数evalast.literal_eval的区别详解 #### 前言 在Python编程中,经常需要处理字符串与各种数据类型(如列表、元组、字典)之间的转换。为了实现这种转换,Python提供了`eval()`函数。然而,`eval()...
python3 eval安全替代函数ast.literal_eval的区别
weixin_51529314的博客
12-23 931
python3 eval安全替代函数ast.literal_eval的区别
eval()替代方法
sone 的博客
05-22 1624
python eval 替代方法eval()替代方法 eval()替代方法 from ast import literal_eval literal_eval()
python---literal_eval函数
qq_58662768的博客
08-02 565
literal_evalPython 标准库 ast (Abstract Syntax Trees) 模块中的一个安全函数,用于将包含 Python 字面量表达式的字符串安全地转换为对应的 Python 对象。
NodeJs 中 eval替代函数
lacoucou的专栏
09-01 1663
nodejs vm 模块替代eval函数
Python教程:ast.literal_eval()的示例用法
我的Python教程
12-02 4810
这是因为 “print(‘Hello, world!但请注意,exec() 不像 ast.literal_eval() 那样安全,因为它可以执行任何 Python 代码。ast.literal_eval() 是一个 Python 的内置函数,它用于解析并执行一个包含 Python 文字字面值的抽象语法树(AST)。这个函数非常有用,因为它可以用来处理那些不包含任何可执行代码的字符串,但需要以一种安全的方式进行。请注意,ast.literal_eval() 不能解析并执行包含 Python 代码的字符串。
python中的eval 方法,Pythoneval替代方法
weixin_39756540的博客
01-14 590
Python eval is quite slow. I need to evaluate simple boolean expression with logical operators (like "True or False"). I am doing this for thousands of line of data and eval is a huge bottleneck in te...
[156]python eval函数妙用ast.literal_eval
周小董
06-26 805
simplejson模块:https://blog.csdn.net/2401_84204034/article/details/138149039。是 Python 标准库 ast 模块中的一个函数,用于安全地评估表示 Python 字面量或容器(如列表、字典、元组、集合)的字符串。参考:https://blog.csdn.net/qq_40206371/article/details/138173160。与之对应的repr函数,它能够将Python的变量表达式转换为字符串表示。
eval()替代写法
AinUser的博客
08-14 5774
eval()写法 var items = eval(node.original.param); 替代写法 var json = node.original.param; var items = (new Function("","return"+json))();
python eval 字符串替换_将python字符串转化成长表达式的函数eval实例
weixin_30624767的博客
02-19 306
爬一个网页时,要保存的数据都没有encode,就导致保存下来的中文都变成unicode了。。。那么,怎么把一个表示字符串的unicode还原成unicode呢?函数eval(expression)就可以帮助完成这项工作。例如:>>>> a = "u'\\u674e'">>> print au'\u674e'>>> print eval(a...
Python中的eval(),exec()以及其相关函数
Python热爱者的博客
08-10 886
1. eval函数 函数的作用: 计算指定表达式的值。也就是说它要执行的Python代码只能是单个运算表达式(注意eval不支持任意形式的赋值操作),而不能是复杂的代码逻辑,这一点lambda表达式比较相似。 函数定义: eval(expression, globals=None, locals=None) 参数说明: expression:必选参数,可以是字符串,也可以是一个任意的code对象实例(可以通过compile函数创建)。如果它是一个字符串,它会被当作一个(使用globalslocals
python-eval-literal_eval-使用测试
叽里呱啦的一大摊,人生太艰难.
04-20 548
import os from ast import literal_eval test_a = '{"name":1}' print(eval(test_a), type(eval(test_a))) # {'name': 1} <class 'dict'> print(literal_eval(test_a), type(literal_eval(test_a))) # {'name': 1} <class 'dict'> try: test_a = "__im
ast.literal_eval(value)
08-04
`ast.literal_eval()` 是 Python 标准库 `ast` 中的一个函数,用于安全地解析字符串形式的 Python 字面量表达式。它支持的字面量包括字符串、数字、元组、列表、字典、布尔值 `None`。相比 `eval()`,`ast.literal_eval()` 不会执行任意代码,因此更适合用于解析不可信来源的数据[^1]。 ### 使用方式 该函数的基本使用方法如下: ```python import ast result = ast.literal_eval(node_or_string) ``` 其中参数 `node_or_string` 可以是一个字符串,也可以是一个抽象语法树(AST)节点。若为字符串,它会被解析为一个 Python 字面量表达式。 #### 示例代码: ```python import ast # 解析字符串形式的列表 data = "[1, 2, 3]" parsed_list = ast.literal_eval(data) print(parsed_list) # 输出: [1, 2, 3] # 解析字符串形式的字典 data = "{'name': 'Alice', 'age': 30}" parsed_dict = ast.literal_eval(data) print(parsed_dict) # 输出: {'name': 'Alice', 'age': 30} # 解析字符串形式的布尔值 data = "True" parsed_bool = ast.literal_eval(data) print(parsed_bool) # 输出: True ``` ### 常见错误与限制 1. **SyntaxError**: 如果输入字符串不是有效的 Python 字面量表达式,`ast.literal_eval()` 会抛出 `SyntaxError` 异常。 ```python ast.literal_eval("my_function()") # 抛出 SyntaxError ``` 2. **ValueError**: 如果解析的节点包含非字面量结构(如函数调用或变量引用),该函数将抛出 `ValueError`。 ```python ast.literal_eval("[1, lambda x: x]") # 抛出 ValueError ``` 3. **类型限制**: 该函数仅支持基本的字面量类型,不支持解析自定义对象或复杂的表达式结构。 ```python ast.literal_eval("MyClass()") # 抛出 ValueError ``` 4. **性能问题**: 对于大规模数据结构或频繁调用的场景,`ast.literal_eval()` 的性能可能不如专用的解析器或 JSON 解析器(如 `json.loads()`)。 ### 安全性 `ast.literal_eval()` 的设计初衷是提供一个比 `eval()` 更安全的替代方案。`eval()` 可以执行任意表达式,存在严重的安全隐患,尤其是在处理用户输入时。而 `ast.literal_eval()` 仅限于解析字面量,因此不会执行潜在的恶意代码。 ### 替代方案 - **JSON**: 若数据格式为 JSON,推荐使用 `json` 模块中的 `json.loads()`,其性能通常优于 `ast.literal_eval()`。 - **pickle**: 对于复杂对象的序列化与反序列化,可以使用 `pickle` 模块,但需注意其安全性问题。 - **自定义解析器**: 对于特定格式的数据,可编写自定义解析器以获得更高的灵活性性能。 ### 适用场景 `ast.literal_eval()` 适用于以下场景: - 解析配置文件中的字面量数据。 - 将字符串形式的字面量转换为 Python 对象。 - 在安全性要求较高的环境中替代 `eval()`。 ### 示例错误处理 为了确保程序的健壮性,建议在使用 `ast.literal_eval()` 时进行异常处理: ```python import ast try: result = ast.literal_eval("invalid syntax") except (SyntaxError, ValueError) as e: print(f"Error during parsing: {e}") ``` ### 总结 `ast.literal_eval()` 是一个强大而安全的工具,适用于解析字符串形式的 Python 字面量表达式。尽管它在某些方面存在性能限制,但在安全性要求较高的场景下,它仍然是首选方案。对于更复杂的需求,建议结合其他模块或工具进行处理。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值