Python の電卓 API として「eval」は安全ですか?

Python: 電卓 API にとって eval を安全にする

この質問では、eval 関数を使用して Python で「電卓 API」を実装するためのガイダンスを求めています。セキュリティ上の懸念について尋ねます。この目的で eval を使用することの安全性を確保するには、その潜在的なリスクを理解し、適切な対策を実装することが重要です。

回答で述べたように、eval は任意の Python コードを実行できるため、セキュリティ リスクを引き起こします。ユーザーはローカル変数を操作し、機密情報にアクセスする可能性があります。これらのリスクを軽減するために、提案されたソリューションでは、次の例に示すように、システム リソースへのアクセスが制限された隔離された環境を使用する必要があります。

<code class="python">env = {}
env["locals"] = None
env["globals"] = None
env["__name__"] = None
env["__file__"] = None
env["__builtins__"] = None

eval(users_str, env)</code>

このアプローチはローカル変数との干渉を防止しようとしていますが、それが認識されています。十分に包括的ではない可能性があります。答えは、賢いハッカーがこれらの予防策を回避する方法を依然として見つけることができると正しく主張しています。

したがって、セキュリティを強化するために、複雑な式またはユーザー提供のコードには eval を使用しないことをお勧めします。代わりに、ply や pyparsing などの解析パッケージを使用して入力を処理し、コード実行環境をさらに制御できるようにすることを検討してください。これらのパッケージは、式を解析し、その安全性を確保するための構造化されたアプローチを提供します。

以上がPython の電卓 API として「eval」は安全ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。