wiegen eval () und ast.litereral_eval () in Python Security

Bei der Bearbeitung von Benutzereingaben sind es imperativ, die Sicherheit zu priorisieren. Eval (), eine leistungsstarke Pythonfunktion, tritt häufig als potenzielle Lösung auf, aber es geht um ihre möglichen Risiken. Dieser Artikel befasst sich mit den Unterschieden zwischen eval () und ast.litereral_eval (), wobei ihre Sicherheitsauswirkungen hervorgehoben werden.

verstehen Eval ()

Eval () Evaluated die Eingabe, sobald er eingegeben wurde, unabhängig von der nachfolgenden Typprüfung. Dies bedeutet, dass böswillige Eingaben ausgeführt werden können, bevor Sie die Chance haben, diese zu mildern. Der folgende Code -Snippet zeigt diese Sicherheitsanfälligkeit:

datamap = eval(input('Provide some data here: '))

Einführung von ast.litereral_eval ()

actod.litereral_val (), der sich auf den Weg machte. Es validiert die Eingabe, um sicherzustellen, dass sie ein Python -Literal darstellt, wie z. B. ein Wörterbuch, eine Liste oder ein Tupel. Wenn die Eingabe nicht zu diesem Format passt, wird eine Ausnahme hervorgerufen und verhindern, dass schädlicher Code ausführt.

try:
    datamap = ast.literal_eval(input('Provide some data here: '))
except ValueError:
    return # Handle invalid input

versuchen: datamap = ast.litereral_eval (input ('hier einige Daten angeben:')) außer ValueError: Rückgabe # Behandeln Sie ungültige Input

Best Practices

Aus Sicherheitsgründen empfehlen es dringend, ast.litereral_eval () zu verwenden, wenn möglich, insbesondere wenn es sich um keine ungewöhnlichen oder unsicheren Input handelt. Eval () sollte aufgrund seines Ausbeutungsmöglichkeits vermieden werden.