Python – 评估字符串中给出的表达式

在Python中，我们可以使用eval()函数来评估字符串中给出的表达式。这个函数将字符串解析为Python表达式并且返回表达式的值。

基本用法

以下是eval()函数的基本用法示例：

>>> x = 4
>>> y = 2
>>> eval("x + y")
6
>>> eval("x * y")
8

在上面的示例中，我们定义了两个变量x和y，然后用eval()函数评估了两个不同的表达式，分别为x + y和x * y。eval()函数将这些字符串解析为Python表达式并且返回结果。

安全注意事项

尽管eval()函数在某些情况下非常方便，但它对于不信任的字符串来说是不安全的。

例如，如果我们传递给eval()函数一个存在安全漏洞的字符串，它将导致潜在的代码注入攻击。

因此，我们应该在使用eval()函数时要十分小心，尤其是在处理不信任的字符串时。

示例

以下是一个存在安全漏洞的eval()函数示例：

>>> x = 4
>>> y = 2
>>> eval("__import__('os').system('rm -rf /')")

在上面的示例中，我们使用了一个字符串函数__import__()，它将文件系统命令rm -rf /注入到我们的代码中。

为了避免这种情况，我们可以使用ast.literal_eval()函数，在不引入安全漏洞的情况下进行字符串评估。

ast.literal_eval()函数

ast.literal_eval()函数与eval()函数非常相似，但它只能评估纯Python表达式，而不能执行任意代码。

以下是ast.literal_eval()函数的示例用法：

>>> import ast
>>> x = 4
>>> y = 2
>>> ast.literal_eval("x + y")
6
>>> ast.literal_eval("__import__('os').system('rm -rf /')")
ValueError: malformed node or string: <_ast.Call object at 0x7f78fde53828>

在上述示例中，我们首先导入了ast模块，然后使用ast.literal_eval()函数评估两个不同的表达式，一个是x + y，一个是__import__('os').system('rm -rf /')。正如我们所看到的，ast.literal_eval()函数仅仅能够处理字符串中符合Python表达式标准的部分，而不会执行不安全的代码。

结论

eval()函数可以很方便地评估Python字符串中的表达式，但它存在一些安全风险。因此，在使用eval()函数时要十分小心并避免不信任的字符串。另外，ast.literal_eval()函数可以提供一种更加安全的评估方式。