文章目录
eval()是Python的一个内置函数,用于执行一个字符串表达式,并返回表达式的值。
基本语法
bash
eval(expression, globals=None, locals=None)1、expression:字符串形式的Python表达式
2、globals(可选):字典形式的全局命名空间
3、locals(可选):字典形式的局部命名空间
基本用法
bash
x = 10
result = eval('x + 5') # 返回15
print(result) # 输出: 15示例
数学运算
bash
print(eval('3 + 5 * 2')) # 输出: 13使用变量
bash
a = 5
b = 10
print(eval('a * b + 10')) # 输出: 60使用函数
bash
import math
print(eval('math.sqrt(16)')) # 输出: 4.0安全性考虑
eval()可以执行任意Python代码,因此存在安全风险,特别是当执行用户提供的输入时:
bash
# 危险示例 - 不要这样做!
user_input = input("请输入表达式: ")
print(eval(user_input)) # 用户可以输入恶意代码如"__import__('os').system('rm -rf /')"限制eval的执行环境
可以通过提供globals和locals参数来限制eval的执行环境:
代码解析:
1、safe_dict 字典:定义了表达式可用的变量:'a' 对应 1,'b' 对应 2。
2、eval() 函数:第一个参数 'a + b':要执行的表达式字符串。第二个参数 {'builtins': None}:禁用所有内置函数和模块(如 print()、open() 等),增强安全性。第三个参数 safe_dict:提供表达式中的变量 a 和 b。
3、执行过程:在 safe_dict 的上下文中计算 a + b,即 1 + 2,结果为 3。禁用 builtins 防止潜在危险操作(如文件访问)。
4、输出:打印结果 3。
bash
safe_dict = {'a': 1, 'b': 2}
result = eval('a + b', {'__builtins__': None}, safe_dict)
print(result) # 输出: 3替代方案
对于简单的数学表达式,可以考虑使用ast.literal_eval(),它更安全但功能有限:
bash
from ast import literal_eval
print(literal_eval('[1, 2, 3]')) # 输出: [1, 2, 3]总结
1、eval()功能强大但潜在危险
2、永远不要用eval()执行不可信的输入
3、在必须使用时,限制其执行环境
4、考虑使用更安全的替代方案如ast.literal_eval()