前言

眾所周知在Python中，如果要將字符串型的list,tuple,dict轉(zhuǎn)變成原有的類型呢？ 這個(gè)時(shí)候你自然會(huì)想到eval. eval函數(shù)在python中做數(shù)據(jù)類型的轉(zhuǎn)換還是很有用的。它的作用就是把數(shù)據(jù)還原成它本身或者是能夠轉(zhuǎn)化成的數(shù)據(jù)類型.下面來(lái)看看示例代碼：

string <==> list

string <==> tuple

string <==> dict

也就是說(shuō)，使用eval可以實(shí)現(xiàn)從元祖，列表，字典型的字符串到元祖，列表，字典的轉(zhuǎn)換，此外，eval還可以對(duì)字符
串型的輸入直接計(jì)算。比如，她會(huì)將'1+1'的計(jì)算串直接計(jì)算出結(jié)果。

從上面來(lái)看，eval功能可謂非常強(qiáng)大，即可以做string與list,tuple,dict之間的類型轉(zhuǎn)換，還可以做計(jì)算器使用！更有甚者，可以對(duì)她能解析的字符串都做處理，而不顧忌可能帶來(lái)的后果！所以說(shuō)eval強(qiáng)大的背后，是巨大的安全隱患！??！ 比如說(shuō),用戶惡意輸入下面的字符串

open(r'D://filename.txt', 'r').read()

__import__('os').system('dir')

__import__('os').system('rm -rf /etc/*')

那么eval就會(huì)不管三七二十一，顯示你電腦目錄結(jié)構(gòu)，讀取文件，刪除文件.....如果是格盤等更嚴(yán)重的操作，她也會(huì)照做不誤?。?！

所以這里就引出了另外一個(gè)安全處理方式ast.literal_eval.可以先看下stackoverflow及Python官方關(guān)于這個(gè)解釋！

stackoverflow

Python官方文檔

簡(jiǎn)單點(diǎn)說(shuō)ast模塊就是幫助Python應(yīng)用來(lái)處理抽象的語(yǔ)法解析的。而該模塊下的literal_eval()函數(shù)：則會(huì)判斷需要計(jì)算的內(nèi)容計(jì)算后是不是合法的python類型，如果是則進(jìn)行運(yùn)算，否則就不進(jìn)行運(yùn)算。

比如說(shuō)上面的計(jì)算操作，及危險(xiǎn)操作，如果換成了ast.literal_eval() ，都會(huì)拒絕執(zhí)行。

報(bào)值錯(cuò)誤，不合法的字符串！

而只會(huì)執(zhí)行合法的Python類型，從而大大降低系統(tǒng)的危險(xiǎn)性！

所以出于安全考慮，對(duì)字符串進(jìn)行類型轉(zhuǎn)換的時(shí)候，最好使用ast.literal_eval()函數(shù)!

總結(jié)

以上就是這篇文章的全部?jī)?nèi)容了，希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作能帶來(lái)一定的幫助，如果有疑問(wèn)大家可以留言交流，謝謝大家對(duì)腳本之家的支持。

最新評(píng)論