经理看到我用eval，过来就是一jio

背景：

前端根据用户输入的内容(输入一个数据)，视图层自动给解析并求值成 字符串/整形/字典/浮点型/列表等。

结果小伙伴用了eval(用户输入的内容)，如果加了双引号那就是字符串这个意思。

但是实际运用中。eval虽然很方便，但是却也伴随着危险。（大佬勿看）

假如万一有个用户输入的并不是一个安全的python数据类型的内容，而是某些恶意代码呢，那不是出了大事？比如os模块 或者某个计算表达式。

所以在这里隆重介绍下 安全版本的eval()，他只能求值python的数据类型,其他的各种计算命令根本不会执行。那么它是谁呢？就是ast.literal_eval

废话不多说，直接看代码图示，展示eval 和 ast.literal_eval 的各种情况下的运行效果：

首先是求值 “abcd”

如图，tmp作为用户输入的内容 ，完全忠实的搬运过来。等待eval处理 看看处理结果：

很明显。转化成了字符串，没问题 那么再来看ast.literal_eval的效果

结果直接报错

结果就是正常的了。 所以ast.literal_eval 在这一点上可以说是相当严谨了。安全性大幅提高。 再来看看计算表达式：

可以看到很轻松就求出值。这和我们起初前端页面的设想是不一样的。很危险就是了。 这里就不放一些恶意危险代码了以免被小朋友学坏了 再来看ast.literal_eval的表现

仍然会报错。可以看到屏蔽了各种计算表达式。所以用户输入的只能是python的正常合法数据类型了。否则就会报错。

所以建议测试小伙伴们写脚本或者测试平台时候，如果没特殊场景，只是单纯的想求值，那就用ast.literal_eval 吧。