pesando eval () y Ast.literal_eval () en Python Security

Al manejar la entrada del usuario, es imperativo priorizar la seguridad. eval (), una poderosa función de pitón, a menudo surge como una solución potencial, pero se refiere a sus riesgos potenciales. Este artículo profundiza en las diferencias entre eval () y AST.LITERAL_EVAL (), destacando sus implicaciones de seguridad.

comprensión eval ()

eval () evalúa la entrada tan pronto como se ingresa, independientemente de la comprobación posterior. Esto significa que la entrada maliciosa se puede ejecutar antes de tener la oportunidad de mitigarla. El siguiente fragmento de código demuestra esta vulnerabilidad:

datamap = eval(input('Provide some data here: '))

introducir Ast.literal_eval ()

Ast.literal_eval () es una alternativa más segura a la evaluación () que no es más segura a la evaluación () que no es más fácil de evaluación () que no es mejor ejecutivo (). seguro. Valida la entrada para garantizar que represente un literal de Python, como un diccionario, lista o tupla. Si la entrada no se ajusta a este formato, plantea una excepción, evitando que el código malicioso se ejecute.

intente: datAMAP = AST.LITERAL_EVAL (INPUT ('Proporcionar algunos datos aquí:')) Excepto ValueError: return # manejar la entrada inválida

try:
    datamap = ast.literal_eval(input('Provide some data here: '))
except ValueError:
    return # Handle invalid input

Best Practices

Por razones de seguridad, se recomienda altamente usar AST.LITERAL_EVAL () siempre que sea posible, especialmente cuando se trata de insumos no confirmados o inciertos. Eval () debe evitarse debido a su potencial de explotación.