python eval()函數的妙用和濫用

eval()函數十分強大，官方demo解釋爲：將字符串str當成有效的表達式來求值並返回計算結果：

>>> s='8*8'
>>> eval(s)
64
>>> eval('2+5*4')
22
>>> x=1
>>> y=4
>>> eval('x+y')
5
>>> eval('98.9')
98.9
>>> eval('9.9\n')
9.9
>>> eval('9.9\n\t\r  \t\r\n')
9.9

　　能夠把list,tuple,dict和string相互轉化：

>>> l = "[2,3,4,5]"
>>> ll=eval(l)
>>> ll
[2, 3, 4, 5]
>>> type(ll)
<type 'list'>
>>> d="{'name':'python','age':20}"
>>> dd=eval(d)
>>> type(dd)
<type 'dict'>
>>> dd
{'age': 20, 'name': 'python'}
>>> t='(1,2,3)'
>>> tt=eval(t)
>>> type(tt)
<type 'tuple'>
>>> tt
(1, 2, 3)

　　eval()函數功能強大，但也很危險，若程序中有如下語句：

s=raw_input('please input:')
print eval(s)

　　

下面舉幾個被惡意用戶使用的例子：
1》運行程序，若是用戶惡意輸入：

please input:__import__('os').system('dir')
則eval()以後，當前目錄文件都會展示在用戶前面。。。

2》運行程序，若是用戶惡意輸入：

please input:open('data.py').read()

若是，當前目錄中剛好有一個文件，名爲data.py，則惡意用戶變讀取到了文件中的內容。。。

3》運行程序，若是用戶惡意輸入：

please input:__import__('os').system('del delete.py /q')
若是，當前目錄中剛好有一個文件，名爲delete.py，則惡意用戶刪除了該文件。。。
/q ：指定靜音狀態。不提示您確認刪除。

 

文章參考連接：https://blog.csdn.net/sxingming/article/details/52130663