「eval()」と「ast.literal_eval()」: ユーザー入力を評価するにはどちらが安全ですか?

Python の eval() と ast.literal_eval() の使用

Query: ユーザー提供のデータを評価する場合、確実にするには eval() または ast.literal_eval() を使用する方が安全です。必要なデータ型と一致しますか?

解決策:

ユーザー提供のデータを扱う場合、セキュリティ リスクを考慮することが重要です。 eval() の使用は、任意の文字列入力を Python コードとして評価するため危険な可能性があり、予期しないアクションや悪意のあるアクションにつながる可能性があります。

説明したシナリオでは、 datamap = eval(input('ここにデータを提供します: ') ) は、関数が呼び出されるとすぐに入力を評価し、実行前にその型を検証する機会がないため、特に危険です。

より安全な代替方法は次のとおりです。 ast.literal_eval() は、評価前に有効な Python データ型 (辞書など) をチェックします。入力が有効な型でない場合は例外をスローし、有害な可能性のあるコードの実行を防ぎます。

そのため、ユーザー入力からリテラル Python データ型を評価する場合は、eval ではなく ast.literal_eval() を使用することを強くお勧めします。 () データの安全性を確保し、セキュリティの脆弱性を防止します。

以上が「eval()」と「ast.literal_eval()」: ユーザー入力を評価するにはどちらが安全ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。