Python: 使 eval 安全

10 浏览2023年4月5日

匿名的 2023年4月5日

0 Comments

我想要在Python中实现一个“计算器API”的简单方法。

目前我并不太关心计算器将支持的精确功能集。

我希望它能接收一个字符串，比如 "1+1"，并返回一个结果字符串，比如我们的例子中的 "2"。

有没有办法让 eval 在这种情况下安全使用？

首先，我会这样做：

env = {}
env["locals"]   = None
env["globals"]  = None
env["__name__"] = None
env["__file__"] = None
env["__builtins__"] = None
eval(users_str, env)

这样调用者就不能操纵我的局部变量（或查看它们）。

但是我确定我在这里忽略了很多东西。

eval 的安全问题可修复吗？还是有太多细微的细节需要注意才能使其正常工作？

Python的eval()在不受信任的字符串上的安全性？

在Python3上不使用eval()来评估数学表达式

"safe_eval"真的安全吗？

Python 'eval'函数在列表反序列化中的安全性

我如何在Python中执行一个包含Python代码的字符串？

将作为字符串给出的表达式求值。

我可以使用'eval'在Python中定义一个函数吗？

字符串中的数学运算

如何在不使用eval()的情况下评估用户输入的字符串作为数学表达式？

如何在Python 3.7中使用eval()和compile()？

Python eval: 如果我禁用了内建函数和属性访问，它还是危险的吗？

如何在python中将字符串转换为python代码？

如何在Python中使用eval赋值变量的值？

如何使用eval()函数评估Python字符串布尔表达式？

在字符串中评估数学表达式

如何取消转义反斜杠转义的字符串？

为什么在使用Python的eval函数时会出现语法错误？

Python - 创建一个"脚本"系统

使用Python的eval()与ast.literal_eval()