eval()函数十分强大,官方demo解释为:将字符串str当成有效的表达式来求值并返回计算结果。
(eval语句用来计算存储在字符串中的有效Python表达式。)
(eval 会计算字符串形式的Python表达式,并返回结果的值。)
exec是类似的
exec语句用来执行储存在字符串或文件中的Python语句
#Python计算器
$print eval(raw_input("Please input an arithmetic expression:"))
$Please input an arithmetic expression:1+2
$3
上面代码解释,上面代码中eval内部现在还不是字符串,首先执行raw_input()函数,raw_input()返回你输入的求值字符串,现在eval函数内部就是求值字符串了,就可以用eval进行字符串的求值了。如输入:4*5+6,那么raw_input就会返回“4*5+6”,eval求值后为26.
要注意上面代码与下面代码的区别:
$print eval('raw_input("Please input an arithmetic expression:")')
$Please input an arithmetic expression:1+2
$1+2其他用法,可以把list,tuple,dict和string相互转化。见下例子:
a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]"
b = eval(a)
b
Out[3]: [[1, 2], [3, 4], [5, 6], [7, 8], [9, 0]]
type(b)
Out[4]: list
a = "{1: 'a', 2: 'b'}"
b = eval(a)
b
Out[7]: {1: 'a', 2: 'b'}
type(b)
Out[8]: dict
a = "([1,2], [3,4], [5,6], [7,8], (9,0))"
b = eval(a)
b
Out[11]: ([1, 2], [3, 4], [5, 6], [7, 8], (9, 0))不可谓不强大!
BUT!强大的函数有代价。安全性是其最大的缺点。
想一想这种使用环境:需要用户输入一个表达式,并求值。
如果用户恶意输入,例如:
__import__('os').system('dir')那么eval()之后,你会发现,当前目录文件都会展现在用户前面。
那么继续输入:
open('文件名').read()代码都给人看了。获取完毕,一条删除命令,文件消失。哭吧!
参考:
http://www.cnblogs.com/youxin/p/3654363.html
http://www.tuicool.com/articles/BBVnQbq
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
