前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >经理看到我用eval,过来就是一jio

经理看到我用eval,过来就是一jio

作者头像
我去热饭
发布2022-05-18 21:14:27
2640
发布2022-05-18 21:14:27
举报
文章被收录于专栏:测试开发干货测试开发干货

背景:

前端根据用户输入的内容(输入一个数据),视图层自动给解析并求值成 字符串/整形/字典/浮点型/列表等。

结果小伙伴用了eval(用户输入的内容),如果加了双引号那就是字符串这个意思。

但是实际运用中。eval虽然很方便,但是却也伴随着危险。(大佬勿看)

假如万一有个用户输入的并不是一个安全的python数据类型的内容,而是某些恶意代码呢,那不是出了大事?比如os模块 或者某个计算表达式。

所以在这里隆重介绍下 安全版本的eval(),他只能求值python的数据类型,其他的各种计算命令根本不会执行。那么它是谁呢?就是ast.literal_eval

废话不多说,直接看代码图示,展示eval 和 ast.literal_eval 的各种情况下的运行效果:

首先是求值 “abcd”

如图,tmp作为用户输入的内容 ,完全忠实的搬运过来。等待eval处理 看看处理结果:

很明显。转化成了字符串,没问题 那么再来看ast.literal_eval的效果

结果直接报错

结果就是正常的了。 所以ast.literal_eval 在这一点上可以说是相当严谨了。安全性大幅提高。 再来看看计算表达式:

可以看到很轻松就求出值。这和我们起初前端页面的设想是不一样的。很危险就是了。 这里就不放一些恶意危险代码了以免被小朋友学坏了 再来看ast.literal_eval的表现

仍然会报错。可以看到屏蔽了各种计算表达式。所以用户输入的只能是python的正常合法数据类型了。否则就会报错。

所以建议测试小伙伴们写脚本或者测试平台时候,如果没特殊场景,只是单纯的想求值,那就用ast.literal_eval 吧。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-04-17,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 测试开发干货 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档