Python中eval的用法及注意事项

eval是Python的一个内置函数，这个函数的作用是，返回传入字符串的表达式的结果。想象一下变量赋值时，将等号右边的表达式写成字符串的格式，将这个字符串作为eval的参数，eval的返回值就是这个表达式的结果。

python中eval函数的用法十分的灵活，但也十分危险，安全性是其最大的缺点。本文从灵活性和危险性两方面介绍eval。

1、强大之处

举几个例子感受一下，字符串与list、tuple、dict的转化。

a="[[1,2],[3,4],[5,6],[7,8],[9,0]]"

b=eval(a)

b

Out[3]:[[1,2],[3,4],[5,6],[7,8],[9,0]]

type(b)

Out[4]:list

a="{1:'a',2:'b'}"

b=eval(a)

b

Out[7]:{1:'a',2:'b'}

type(b)

Out[8]:dict

a="([1,2],[3,4],[5,6],[7,8],(9,0))"

b=eval(a)

b

Out[11]:([1,2],[3,4],[5,6],[7,8],(9,0))

强大吧，给个字符串给eval，eval给你一个表达式返回值。

eval的语法格式如下：

eval(expression[,globals[,locals]])

expression：字符串

globals：变量作用域，全局命名空间，如果被提供，则必须是一个字典对象。

locals：变量作用域，局部命名空间，如果被提供，可以是任何映射对象。

结合globals和locals看看几个例子

传递globals参数值为{“age”:1822}，

eval("{'name':'linux','age':age}",{"age":1822})

输出结果

{‘name':‘linux',‘age':1822}

再加上locals变量

age=18

eval("{'name':'linux','age':age}",{"age":1822},locals())

根据上面两个例子可以看到当locals参数为空，globals参数不为空时，查找globals参数中是否存在变量，并计算。

当两个参数都不为空时，先查找locals参数，再查找globals参数，locals参数中同名变量会覆盖globals中的变量。

2、危险之处

eval虽然方便，但是要注意安全性，可以将字符串转成表达式并执行，就可以利用执行系统命令，删除文件等操作。

假设用户恶意输入。比如：

eval("__import__('os').system('ls/home/pythontab.com/www/')")

那么eval()之后，你会发现，当前文件夹文件都会展如今用户前面。这句其实相当于执行了

os.system('ls/home/pythontab.com/www/')

那么继续输入：

eval("__import__('os').system('cat/home/pythontab.com/www/test.sql')")

代码都给人看了。

再来一条删除命令，文件消失。比如

eval("__import__('os').system('rm/home/pythontab.com/www/test.data')")

所以使用eval，一方面享受他的了灵活性同时，也要注意安全性。

以上内容为大家介绍了Python中eval的用法及注意事项，希望对大家有所帮助，如果想要了解更多Python相关知识，请关注IT培训机构:开发教育。http://www.baikegou.com/

鹏仔微信 15129739599 鹏仔QQ344225443 鹏仔前端 pjxi.com 共享博客 sharedbk.com