Python の eval() 関数と exec() 関数の使用分析

この記事の内容は、Python の eval() 関数と exec() 関数の使用状況分析に関するもので、一定の参考価値があります。必要な友人は参照してください。お役に立てば幸いです。あなたは助けてくれました。

Python には多くの組み込みユーティリティ関数 (組み込み関数) が用意されており、最新の Python 3 公式ドキュメントには 69 個がリストされています。

print()、open()、dir() など、ほとんどの関数は一般的に使用されています。一部の関数は一般的には使用されませんが、特定のシナリオでは特別な役割を果たす可能性があります。組み込み関数は「昇格」することができます。つまり、組み込み関数には独自の機能があり、便利です。

したがって、組み込み関数の使用法を習得することは、重視されるべきスキルとなっています。

1. eval の基本的な使用法

構文: eval(expression, globals=None, locals =None)

これには 3 つのパラメータがあり、そのうちの式は文字列型の式または計算に使用されるコード オブジェクトです。グローバルとローカルはオプションのパラメータで、デフォルト値は None です。

具体的には、expression は 1 つの式のみであり、代入演算やループ ステートメントなどの複雑なコード ロジックはサポートされていません。 (追記: 単一の式は「単純で無害」という意味ではありません。以下のセクション 4 を参照してください。)

globals は、実行時にグローバル名前空間を指定するために使用されます。タイプは辞書です。デフォルトでは、現在のモジュールの組み込みの名前空間。 locals は実行時にローカル名前空間を指定します。タイプはディクショナリで、デフォルトでは globals の値が使用されます。どちらもデフォルトの場合は、eval 関数実行時のスコープに従います。これら 2 つは実際の名前空間を表すものではなく、操作中にのみ機能し、操作後に破棄されることに注意してください。

x = 10

def func():
    y = 20
    a = eval('x + y')
    print('a: ', a)
    b = eval('x + y', {'x': 1, 'y': 2})
    print('x: ' + str(x) + ' y: ' + str(y))
    print('b: ', b)
    c = eval('x + y', {'x': 1, 'y': 2}, {'y': 3, 'z': 4})
    print('x: ' + str(x) + ' y: ' + str(y))
    print('c: ', c)

func()

出力結果:

a:  30
x: 10 y: 20
b:  3
x: 10 y: 20
c:  4

名前空間を指定すると、対応する名前空間で変数が検索されることがわかります。さらに、それらの値は実際の名前空間の値を上書きしません。

2. exec の基本的な使用法

構文: exec(object[, globals[, locals ]])

Python2 では exec はステートメントですが、Python3 では print と同様に関数に変換します。 exec() は eval() に非常に似ており、3 つのパラメータは同様の意味と機能を持ちます。

主な違いは、exec() の最初のパラメータが式ではなくコード ブロックであることです。これは 2 つのことを意味します: 1 つ目は、式を評価して返すことができないこと、2 つ目は、式を実行できることです複雑なコード ロジックであり、比較的強力です。たとえば、新しい変数がコード ブロックに割り当てられるとき、変数 may は関数の外の名前空間に残ります。

>>> x = 1
>>> y = exec('x = 1 + 1')
>>> print(x)
>>> print(y)
2
None

関数の実行結果を受け取るために変数が必要な eval() 関数とは異なり、exec() の内部と外部の名前空間が接続され、ここから変数が渡されることがわかります。 。

3. 詳細な分析

どちらの関数も非常に強力で、文字列の内容を有効なコードとして実行します。これは 文字列主導のイベントであり、非常に重要です。ただし、実際に使用するには細かい点がたくさんあります。

一般的な用途: 文字列をリストに、文字列を辞書に、文字列をタプルになど、文字列を対応するオブジェクトに変換します。

>>> a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]"
>>> print(eval(a))
[[1, 2], [3, 4], [5, 6], [7, 8], [9, 0]]
>>> a = "{'name': 'Python猫', 'age': 18}"
>>> print(eval(a))
{'name': 'Python猫', 'age': 18}

# 与 eval 略有不同
>>> a = "my_dict = {'name': 'Python猫', 'age': 18}"
>>> exec(a)
>>> print(my_dict)
{'name': 'Python猫', 'age': 18}

eval() 関数の戻り値は、その式の実行結果です。式が print() ステートメントや append() ステートメントである場合など、場合によっては None になります。リストの操作を行う場合、このタイプの操作の結果は None になるため、eval() の戻り値も None になります。

>>> result = eval('[].append(2)')
>>> print(result)
None

exec()関数の戻り値は実行文の結果とは関係のないNoneのみとなるため、exec()関数に値を代入する必要はありません。 。実行されたステートメントに return または yield が含まれている場合、それらが生成する値は exec 関数の外で使用できません。

>>> result = exec('1 + 1')
>>> print(result)
None

2 つの関数のグローバル パラメータとローカル パラメータはホワイトリストとして機能し、名前空間のスコープを制限することでスコープ内のデータの悪用を防ぎます。

conpile() 関数によってコンパイルされたコード オブジェクトは、eval および exec の最初のパラメータとして使用できます。 COMPILE() も魔法の関数で、私が翻訳した前回の記事「Python Sassy Operations: Dynamically Defining Functions」では、関数を動的に定義する操作を説明しました。

逆説的なローカル名前空間: 前述したように、exec() 関数内の変数は元の名前空間を変更できますが、例外もあります。

def foo():
    exec('y = 1 + 1\nprint(y)')
    print(locals())
    print(y)

foo()

これまでの理解によれば、期待される結果は変数 y がローカル変数に格納されるため、2 つの出力結果は 2 になりますが、実際の結果は次のとおりです:

2
{'y': 2}
Traceback (most recent call last):
...(略去部分报错信息)
    print(y)
NameError: name 'y' is not defined

ローカル名前空間に変数 y があるのは明らかですが、未定義であるというエラーが表示されるのはなぜですか?

原因与 Python 的编译器有关，对于以上代码，编译器会先将 foo 函数解析成一个 ast（抽象语法树），然后将所有变量节点存入栈中，此时 exec() 的参数只是一个字符串，整个就是常量，并没有作为代码执行，因此 y 还不存在。直到解析第二个 print() 时，此时第一次出现变量 y ，但因为没有完整的定义，所以 y 不会被存入局部命名空间。

在运行期，exec() 函数动态地创建了局部变量 y ，然而由于 Python 的实现机制是“运行期的局部命名空间不可改变 ”，也就是说这时的 y 始终无法成为局部命名空间的一员，当执行 print() 时也就报错了。

至于为什么 locals() 取出的结果有 y，为什么它不能代表真正的局部命名空间？为什么局部命名空间无法被动态修改？可以查看我之前分享的《Python 动态赋值的陷阱》，另外，官方的 bug 网站中也有对此问题的讨论，查看地址：https://bugs.python.org/issue...

若想把 exec() 执行后的 y 取出来的话，可以这样：z = locals()['y'] ，然而如果不小心写成了下面的代码，则会报错：

def foo():
    exec('y = 1 + 1')
    y = locals()['y']
    print(y)
    
foo()

#报错：KeyError: 'y'
#把变量 y 改为其它变量则不会报错

KeyError 指的是在字典中不存在对应的 key 。本例中 y 作了声明，却因为循环引用而无法完成赋值，即 key 值对应的 value 是个无效值，因此读取不到，就报错了。

此例还有 4 个变种，我想用一套自恰的说法来解释它们，但尝试了很久，未果。留个后话吧，等我想明白，再单独写一篇文章。

4、为什么要慎用 eval() ？

很多动态的编程语言中都会有 eval() 函数，作用大同小异，但是，无一例外，人们会告诉你说，避免使用它。

为什么要慎用 eval() 呢？主要出于安全考虑，对于不可信的数据源，eval 函数很可能会招来代码注入的问题。

>>> eval("__import__('os').system('whoami')")
desktop-fa4b888\pythoncat
>>> eval("__import__('subprocess').getoutput('ls ~')")
#结果略，内容是当前路径的文件信息

在以上例子中，我的隐私数据就被暴露了。而更可怕的是，如果将命令改为rm -rf ~ ，那当前目录的所有文件都会被删除干净。

针对以上例子，有一个限制的办法，即指定 globals 为 {'__builtins__': None} 或者 {'__builtins__': {}} 。

>>> s = {'__builtins__': None}
>>> eval("__import__('os').system('whoami')", s)
#报错：TypeError: 'NoneType' object is not subscriptable

__builtins__ 包含了内置命名空间中的名称，在控制台中输入 dir(__builtins__) ，就能发现很多内置函数、异常和其它属性的名称。在默认情况下，eval 函数的 globals 参数会隐式地携带__builtins__ ，即使是令 globals 参数为 {} 也如此，所以如果想要禁用它，就得显式地指定它的值。

上例将它映射成 None，就意味着限定了 eval 可用的内置命名空间为 None，从而限制了表达式调用内置模块或属性的能力。

但是，这个办法还不是万无一失的，因为仍有手段可以发起攻击。

某位漏洞挖掘高手在他的博客中分享了一个思路，令人大开眼界。其核心的代码是下面这句，你可以试试执行，看看输出的是什么内容。

>>> ().__class__.__bases__[0].__subclasses__()

关于这句代码的解释，以及更进一步的利用手段，详见。（地址：http://www.php.cn/python-tutorials-416494.html）

另外还有一篇博客，不仅提到了上例的手段，还提供了一种新的思路：

#警告：千万不要执行如下代码，后果自负。
>>> eval('(lambda fc=(lambda n: [c 1="c" 2="in" 3="().__class__.__bases__[0" language="for"][/c].__subclasses__() if c.__name__ == n][0]):fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()', {"__builtins__":None})

这行代码会导致 Python 直接 crash 掉。具体分析在：http://www.php.cn/python-tutorials-416495.html

除了黑客的手段，简单的内容也能发起攻击。像下例这样的写法， 将在短时间内耗尽服务器的计算资源。

>>> eval("2 ** 888888888", {"__builtins__":None}, {})

如上所述，我们直观地展示了 eval() 函数的危害性，然而，即使是 Python 高手们小心谨慎地使用，也不能保证不出错。

在官方的 dumbdbm 模块中，曾经（2014年）发现一个安全漏洞，攻击者通过伪造数据库文件，可以在调用 eval() 时发起攻击。（详情：https://bugs.python.org/issue...）

无独有偶，在上个月（2019.02），有核心开发者针对 Python 3.8 也提出了一个安全问题，提议不在 logging.config 中使用 eval() 函数，目前该问题还是 open 状态。（详情：https://bugs.python.org/issue...）

如此种种，足以说明为什么要慎用 eval() 了。同理可证，exec() 函数也得谨慎使用。

5、安全的替代用法

既然有种种安全隐患，为什么要创造出这两个内置方法呢？为什么要使用它们呢？

理由很简单，因为 Python 是一门灵活的动态语言。与静态语言不同，动态语言支持动态地产生代码，对于已经部署好的工程，也可以只做很小的局部修改，就实现 bug 修复。

那有什么办法可以相对安全地使用它们呢？

ast 模块的 literal() 是 eval() 的安全替代，与 eval() 不做检查就执行的方式不同，ast.literal() 会先检查表达式内容是否有效合法。它所允许的字面内容如下：

strings, bytes, numbers, tuples, lists, dicts, sets, booleans, 和 None

一旦内容非法，则会报错：

import ast
ast.literal_eval("__import__('os').system('whoami')")

报错：ValueError: malformed node or string

不过，它也有缺点：AST 编译器的栈深（stack depth）有限，解析的字符串内容太多或太复杂时，可能导致程序崩溃。

至于 exec() ，似乎还没有类似的替代方法，毕竟它本身可支持的内容是更加复杂多样的。

最后是一个建议：搞清楚它们的区别与运行细节（例如前面的局部命名空间内容），谨慎使用，限制可用的命名空间，对数据源作充分校验。

本篇文章到这里就已经全部结束了，更多其他精彩内容可以关注PHP中文网的python视频教程栏目！

以上がPython の eval() 関数と exec() 関数の使用分析の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。