python---eval函数

eval()是Python的一个内置函数，用于执行一个字符串表达式，并返回表达式的值。

基本语法

bash 复制代码

eval(expression, globals=None, locals=None)

1、expression：字符串形式的Python表达式

2、globals（可选）：字典形式的全局命名空间

3、locals（可选）：字典形式的局部命名空间

bash 复制代码

x = 10
result = eval('x + 5')  # 返回15
print(result)  # 输出: 15

bash 复制代码

print(eval('3 + 5 * 2'))  # 输出: 13

bash 复制代码

a = 5
b = 10
print(eval('a * b + 10'))  # 输出: 60

bash 复制代码

import math
print(eval('math.sqrt(16)'))  # 输出: 4.0

eval()可以执行任意Python代码，因此存在安全风险，特别是当执行用户提供的输入时：

bash 复制代码

# 危险示例 - 不要这样做！
user_input = input("请输入表达式: ")
print(eval(user_input))  # 用户可以输入恶意代码如"__import__('os').system('rm -rf /')"

可以通过提供globals和locals参数来限制eval的执行环境：

代码解析：

1、safe_dict 字典：定义了表达式可用的变量：'a' 对应 1，'b' 对应 2。

2、eval() 函数：第一个参数 'a + b'：要执行的表达式字符串。第二个参数 {'builtins': None}：禁用所有内置函数和模块（如 print()、open() 等），增强安全性。第三个参数 safe_dict：提供表达式中的变量 a 和 b。

3、执行过程：在 safe_dict 的上下文中计算 a + b，即 1 + 2，结果为 3。禁用 builtins 防止潜在危险操作（如文件访问）。

4、输出：打印结果 3。

bash 复制代码

safe_dict = {'a': 1, 'b': 2}
result = eval('a + b', {'__builtins__': None}, safe_dict)
print(result)  # 输出: 3

对于简单的数学表达式，可以考虑使用ast.literal_eval()，它更安全但功能有限：

bash 复制代码

from ast import literal_eval
print(literal_eval('[1, 2, 3]'))  # 输出: [1, 2, 3]

1、eval()功能强大但潜在危险

2、永远不要用eval()执行不可信的输入

3、在必须使用时，限制其执行环境

4、考虑使用更安全的替代方案如ast.literal_eval()