深度辨析 Python 的 eval() 與 exec()

 

Python 提供了不少內置的工具函數（Built-in Functions），在最新的 Python 3 官方文檔中，它列出了 69 個。

大部分函數是咱們常用的，例如 print()、open() 與 dir()，而有一些函數雖然不經常使用，但它們在某些場景下，卻能發揮出不通常的做用。內置函數們可以被「提拔」出來，這就意味着它們皆有獨到之處，有用武之地。

所以，掌握內置函數的用法，就成了咱們應該點亮的技能。

在《Python進階：如何將字符串常量轉爲變量？》這篇文章中，我提到過 eval() 和 exec() ，但對它們並不太瞭解。爲了彌補這方面知識，我就從新學習了下。這篇文章是一份超級詳細的學習記錄，系統、全面而深刻地辨析了這兩大函數。

一、eval 的基本用法

語法：eval(expression, globals=None, locals=None)

它有三個參數，其中 expression 是一個字符串類型的表達式或代碼對象，用於作運算；globals 與 locals 是可選參數，默認值是 None。

具體而言，expression 只能是單個表達式，不支持複雜的代碼邏輯，例如賦值操做、循環語句等等。（PS：單個表達式並不意味着「簡單無害」，參見下文第 4 節）

globals 用於指定運行時的全局命名空間，類型是字典，缺省時使用的是當前模塊的內置命名空間。locals 指定運行時的局部命名空間，類型是字典，缺省時使用 globals 的值。二者都缺省時，則遵循 eval 函數執行時的做用域。值得注意的是，這二者不表明真正的命名空間，只在運算時起做用，運算後則銷燬。

x = 10

def func():
    y = 20
    a = eval('x + y')
    print('a: ', a)
    b = eval('x + y', {'x': 1, 'y': 2})
    print('x: ' + str(x) + ' y: ' + str(y))
    print('b: ', b)
    c = eval('x + y', {'x': 1, 'y': 2}, {'y': 3, 'z': 4})
    print('x: ' + str(x) + ' y: ' + str(y))
    print('c: ', c)

func()

輸出結果：

a:  30
x: 10 y: 20
b:  3
x: 10 y: 20
c:  4

因而可知，當指定了命名空間的時候，變量會在對應命名空間中查找。並且，它們的值不會覆蓋實際命名空間中的值。

二、exec 的基本用法

語法：exec(object[, globals[, locals]])

在 Python2 中 exec 是個語句，而 Python3 將其改形成一個函數，就像 print 同樣。exec() 與 eval() 高度類似，三個參數的意義和做用相近。

主要的區別是，exec() 的第一個參數不是表達式，而是代碼塊，這意味着兩點：一是它不能作表達式求值並返回出去，二是它能夠執行復雜的代碼邏輯，相對而言功能更增強大，例如，當代碼塊中賦值了新的變量時，該變量可能 在函數外的命名空間中存活下來。

>>> x = 1
>>> y = exec('x = 1 + 1')
>>> print(x)
>>> print(y)
2
None

能夠看出，exec() 內外的命名空間是相通的，變量由此傳遞出去，而不像 eval() 函數，須要一個變量來接收函數的執行結果。

三、一些細節辨析

兩個函數都很強大，它們將字符串內容當作有效的代碼執行。這是一種字符串驅動的事件 ，意義重大。然而，在實際使用過程當中，存在不少微小的細節，此處就列出我所知道的幾點吧。

常見用途：將字符串轉成相應的對象，例如 string 轉成 list ，string 轉成 dict，string 轉 tuple 等等。

>>> a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]"
>>> print(eval(a))
[[1, 2], [3, 4], [5, 6], [7, 8], [9, 0]]
>>> a = "{'name': 'Python貓', 'age': 18}"
>>> print(eval(a))
{'name': 'Python貓', 'age': 18}

# 與 eval 略有不一樣
>>> a = "my_dict = {'name': 'Python貓', 'age': 18}"
>>> exec(a)
>>> print(my_dict)
{'name': 'Python貓', 'age': 18}

eval() 函數的返回值是其 expression 的執行結果，在某些狀況下，它會是 None，例如當該表達式是 print() 語句，或者是列表的 append() 操做時，這類操做的結果是 None，所以 eval() 的返回值也會是 None。

>>> result = eval('[].append(2)')
>>> print(result)
None

exec() 函數的返回值只會是 None，與執行語句的結果無關，因此，將 exec() 函數賦值出去，就沒有任何須要。所執行的語句中，若是包含 return 或 yield ，它們產生的值也沒法在 exec 函數的外部起做用。

>>> result = exec('1 + 1')
>>> print(result)
None

兩個函數中的 globals 和 locals 參數，起到的是白名單的做用，經過限定命名空間的範圍，防止做用域內的數據被濫用。

conpile() 函數編譯後的 code 對象，可做爲 eval 和 exec 的第一個參數。compile() 也是個神奇的函數，我翻譯的上一篇文章《Python騷操做：動態定義函數》就演示了一個動態定義函數的操做。

弔詭的局部命名空間：前面講到了 exec() 函數內的變量是能夠改變原有命名空間的，然而也有例外。

def foo():
    exec('y = 1 + 1\nprint(y)')
    print(locals())
    print(y)

foo()

按照前面的理解，預期的結果是局部變量中會存入變量 y，所以兩次的打印結果都會是 2，然而實際上的結果倒是：

2
{'y': 2}
Traceback (most recent call last):
...(略去部分報錯信息)
    print(y)
NameError: name 'y' is not defined

明明看到了局部命名空間中有變量 y，爲什麼會報錯說它未定義呢？

緣由與 Python 的編譯器有關，對於以上代碼，編譯器會先將 foo 函數解析成一個 ast（抽象語法樹），而後將全部變量節點存入棧中，此時 exec() 的參數只是一個字符串，整個就是常量，並無做爲代碼執行，所以 y 還不存在。直到解析第二個 print() 時，此時第一次出現變量 y ，但由於沒有完整的定義，因此 y 不會被存入局部命名空間。

在運行期，exec() 函數動態地建立了局部變量 y ，然而因爲 Python 的實現機制是「運行期的局部命名空間不可改變 」，也就是說這時的 y 始終沒法成爲局部命名空間的一員，當執行 print() 時也就報錯了。

至於爲何 locals() 取出的結果有 y，爲何它不能表明真正的局部命名空間？爲何局部命名空間沒法被動態修改？能夠查看我以前分享的《Python 動態賦值的陷阱》，另外，官方的 bug 網站中也有對此問題的討論，查看地址：https://bugs.python.org/issue4831

若想把 exec() 執行後的 y 取出來的話，能夠這樣：z = locals()['y'] ，然而若是不當心寫成了下面的代碼，則會報錯：

def foo():
    exec('y = 1 + 1')
    y = locals()['y']
    print(y)

foo()

#報錯：KeyError: 'y'
#把變量 y 改成其它變量則不會報錯

KeyError 指的是在字典中不存在對應的 key 。本例中 y 做了聲明，卻由於循環引用而沒法完成賦值，即 key 值對應的 value 是個無效值，所以讀取不到，就報錯了。

此例還有 4 個變種，我想用一套自恰的說法來解釋它們，但嘗試了好久，未果。留個後話吧，等我想明白，再單獨寫一篇文章。

四、爲何要慎用 eval() ？

不少動態的編程語言中都會有 eval() 函數，做用大同小異，可是，無一例外，人們會告訴你說，避免使用它。

爲何要慎用 eval() 呢？主要出於安全考慮，對於不可信的數據源，eval 函數極可能會招來代碼注入的問題。

>>> eval("__import__('os').system('whoami')")
desktop-fa4b888\pythoncat
>>> eval("__import__('subprocess').getoutput('ls ~')")
#結果略，內容是當前路徑的文件信息

在以上例子中，個人隱私數據就被暴露了。而更可怕的是，若是將命令改成rm -rf ~ ，那當前目錄的全部文件都會被刪除乾淨。

針對以上例子，有一個限制的辦法，即指定 globals 爲 {'__builtins__': None} 或者 {'__builtins__': {}} 。

>>> s = {'__builtins__': None}
>>> eval("__import__('os').system('whoami')", s)
#報錯：TypeError: 'NoneType' object is not subscriptable

__builtins__ 包含了內置命名空間中的名稱，在控制檯中輸入 dir(__builtins__) ，就能發現不少內置函數、異常和其它屬性的名稱。在默認狀況下，eval 函數的 globals 參數會隱式地攜帶__builtins__ ，即便是令 globals 參數爲 {} 也如此，因此若是想要禁用它，就得顯式地指定它的值。

上例將它映射成 None，就意味着限定了 eval 可用的內置命名空間爲 None，從而限制了表達式調用內置模塊或屬性的能力。

可是，這個辦法還不是萬無一失的，由於仍有手段能夠發起攻擊。

某位漏洞挖掘高手在他的博客中分享了一個思路，使人大開眼界。其核心的代碼是下面這句，你能夠試試執行，看看輸出的是什麼內容。

>>> ().__class__.__bases__[0].__subclasses__()

關於這句代碼的解釋，以及更進一步的利用手段，詳見博客。（地址：https://www.tuicool.com/articles/jeaqe2n）

另外還有一篇博客，不只提到了上例的手段，還提供了一種新的思路：

#警告：千萬不要執行以下代碼，後果自負。
>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})

這行代碼會致使 Python 直接 crash 掉。具體分析在：https://segmentfault.com/a/1190000011532358

除了黑客的手段，簡單的內容也能發起攻擊。像下例這樣的寫法， 將在短期內耗盡服務器的計算資源。

>>> eval("2 ** 888888888", {"__builtins__":None}, {})

如上所述，咱們直觀地展現了 eval() 函數的危害性，然而，即便是 Python 高手們當心謹慎地使用，也不能保證不出錯。

在官方的 dumbdbm 模塊中，曾經（2014年）發現一個安全漏洞，攻擊者經過僞造數據庫文件，能夠在調用 eval() 時發起攻擊。（詳情：https://bugs.python.org/issue22885）

無獨有偶，在上個月（2019.02），有核心開發者針對 Python 3.8 也提出了一個安全問題，提議不在 logging.config 中使用 eval() 函數，目前該問題仍是 open 狀態。（詳情：https://bugs.python.org/issue36022）

如此種種，足以說明爲何要慎用 eval() 了。同理可證，exec() 函數也得謹慎使用。

五、安全的替代用法

既然有種種安全隱患，爲何要創造出這兩個內置方法呢？爲何要使用它們呢？

理由很簡單，由於 Python 是一門靈活的動態語言。與靜態語言不一樣，動態語言支持動態地產生代碼，對於已經部署好的工程，也能夠只作很小的局部修改，就實現 bug 修復。

那有什麼辦法能夠相對安全地使用它們呢？

ast 模塊的 literal() 是 eval() 的安全替代，與 eval() 不作檢查就執行的方式不一樣，ast.literal() 會先檢查表達式內容是否有效合法。它所容許的字面內容以下：

strings, bytes, numbers, tuples, lists, dicts, sets, booleans, 和 None

一旦內容非法，則會報錯：

import ast
ast.literal_eval("__import__('os').system('whoami')")

報錯：ValueError: malformed node or string

不過，它也有缺點：AST 編譯器的棧深（stack depth）有限，解析的字符串內容太多或太複雜時，可能致使程序崩潰。

至於 exec() ，彷佛尚未相似的替代方法，畢竟它自己可支持的內容是更加複雜多樣的。

最後是一個建議：搞清楚它們的區別與運行細節（例如前面的局部命名空間內容），謹慎使用，限制可用的命名空間，對數據源做充分校驗。

關聯閱讀：

Python 動態賦值的陷阱

Python騷操做：動態定義函數

Python與家國天下

Python進階：如何將字符串常量轉爲變量？

https://docs.python.org/3/library/ast.html#ast.literal_eval

公衆號【Python貓】， 專一Python技術、數據科學和深度學習，力圖創造一個有趣又有用的學習分享平臺。本號連載優質的系列文章，有喵星哲學貓系列、Python進階系列、好書推薦系列、優質英文推薦與翻譯等等，歡迎關注哦。PS：後臺回覆「愛學習」，免費得到一份學習大禮包。