Python eval 함수는 수학 표현식 계산기를 작성합니다.

이 기사에서는 윤두오준이 여러분과 함께 eval()의 작동 방식과 Python 프로그램에서 이를 안전하고 효과적으로 사용하는 방법을 배울 것입니다.

• eval() 관련 보안 문제

1. 전역 및 지역 제한
2. 내장 이름 사용 제한
3. 입력 이름 제한
4. 입력을 단어 수로만 제한

• Python 사용 eval() 함수 및 input()
• 수학 표현식 계산기 만들기
• 요약

eval()의 보안 문제

이 섹션에서는 주로 eval()이 코드를 안전하지 않게 만드는 방법과 관련 보안 위험을 피하는 방법에 대해 알아봅니다.

eval() 함수의 보안 문제는 이를 통해 귀하(또는 귀하의 사용자)가 임의의 Python 코드를 동적으로 실행할 수 있다는 것입니다.

일반적으로 읽고 있는(또는 쓰는) 코드가 우리가 실행하려는 코드가 아닌 상황이 있을 것입니다. 사용자 또는 기타 외부 소스의 입력을 계산하기 위해 eval()을 사용해야 하는 경우 어떤 코드가 실행될지 결정하는 것이 불가능하며 이는 매우 심각한 보안 취약점이며 해커에게 매우 취약합니다.

일반적으로 eval() 사용을 권장하지 않습니다. 하지만 이 기능을 사용해야 한다면 경험 법칙을 기억해야 합니다. 즉, 신뢰할 수 없는 입력에는 이 기능을 사용하지 마십시오. 이 규칙의 요점은 우리가 신뢰할 수 있는 입력 유형이 무엇인지 파악하는 것입니다.

예를 들어, eval()을 마음대로 사용하면 우리가 작성하는 코드가 허점으로 가득 차게 됩니다. 임의의 Python 수학 표현식(사용자 정의 표현식)을 평가한 다음 실행 버튼을 클릭하는 온라인 서비스를 구축한다고 가정해 보겠습니다. 애플리케이션 앱은 사용자의 입력을 받아 평가를 위해 eval()에 전달합니다.

이 앱은 당사의 개인 서버에서 실행되며 해당 서버에는 중요한 파일이 포함되어 있습니다. Linux 운영 체제에서 명령을 실행하고 해당 프로세스에 합법적인 권한이 있는 경우 악의적인 사용자가 위험한 문자열을 입력하여 서버를 손상시킬 수 있습니다. 다음 명령.

"__import__('subprocess').getoutput('rm –rf *')"

위 코드는 프로그램의 현재 디렉터리에 있는 모든 파일을 삭제합니다. 이건 정말 끔찍해요!

참고: __import__()​는 문자열 형식으로 모듈 이름을 받고 모듈 객체에 대한 참조를 반환하는 내장 함수입니다. __import__()​는 import 문과 완전히 다른 함수입니다. import 문을 평가하기 위해 eval()을 사용할 수 없습니다.

입력을 신뢰할 수 없을 때 eval() 함수로 인해 발생하는 보안 위험을 피할 수 있는 완전히 효과적인 방법은 없습니다. 실제로 eval()의 실행 환경을 제한함으로써 위험을 줄일 수 있습니다. 아래에서는 몇 가지 위험 회피 기술을 알아봅니다.

전역 및 지역 제한

사용자 정의 사전을 전역 및 지역 매개변수에 전달하여 eval()의 실행 환경을 제한할 수 있습니다. 예를 들어, eval()이 호출자의 현재 범위 또는 네임스페이스에 있는 변수 이름에 액세스하지 못하도록 두 인수 모두에 빈 사전을 전달할 수 있습니다.

# 避免访问调用者当前范围内的名字
>>> x = 100
>>> eval("x * 5", {}, {})
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
File "<string>", line 1, in <module>
NameError: name 'x' is not defined

빈 사전({}​)이 전역 및 지역에 전달되면 eval()​이 문자열 "x * 5 "​를 계산할 때 전역 네임스페이스나 로컬 이름 x에서 찾을 수 없습니다. ​. 따라서 eval()은 NameError를 발생시킵니다.

그러나 이와 같이 전역 및 지역 매개변수를 제한한다고 해서 Python의 eval() 사용과 관련된 모든 보안 위험이 제거되는 것은 아닙니다. Python의 모든 내장 변수 이름에 계속 액세스할 수 있기 때문입니다.

내장 이름 사용을 제한하세요

함수 eval()​은 표현식을 구문 분석하기 전에 내장 내장 모듈 사전의 참조를 전역에 자동으로 삽입합니다. 내장 함수 __import__()를 사용하여 시스템에 설치된 표준 라이브러리 및 타사 모듈에 액세스합니다. 이는 악의적인 사용자가 쉽게 악용할 수도 있습니다.

아래 예는 전역 및 지역을 제한한 후에도 모든 내장 기능과 수학 또는 하위 프로세스와 같은 표준 모듈을 사용할 수 있음을 보여줍니다.

>>> eval("sum([5, 5, 5])", {}, {})
15
>>> eval("__import__('math').sqrt(25)", {}, {})
5.0
>>> eval("__import__('subprocess').getoutput('echo Hello, World')", {}, {})
'Hello, World'

__import__()를 사용하여 수학 및 하위 프로세스 가져오기와 같은 표준 또는 타사 모듈을 가져올 수 있습니다. 따라서 수학, 하위 프로세스 또는 기타 모듈에 정의된 모든 함수나 클래스에 액세스할 수 있습니다. 이제 악의적인 사용자가 하위 프로세스나 표준 라이브러리의 다른 강력한 모듈을 사용하여 시스템에 무엇을 할 수 있는지 상상해 보십시오.

이 위험을 줄이려면 전역에서 "__builtins__​" 키를 재정의하여 Python 내장 함수에 대한 액세스를 제한할 수 있습니다. 일반적으로 키-값 쌍 "__buildins__:{}"을 포함하는 사용자 지정 사전을 사용하는 것이 좋습니다.

>>> eval("__import__('math').sqrt(25)", {"__builtins__": {}}, {})
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
File "<string>", line 1, in <module>
NameError: name '__import__' is not defined

如果我们将一个包含键值对 "__builtins__: {}​" 的字典传递给 globals，那么 eval()​ 就不能直接访问 Python 的内置函数，比如 __import__()。

然而这种方法仍然无法使得 eval() 完全规避风险。

限制输入中的名称

即使可以使用自定义的 globals​ 和 locals​ 字典来限制 eval()​的执行环境，这个函数仍然会被攻击。例如可以使用像""、"[]"、"{}"或"() "​来访问类object以及一些特殊属性。

>>> "".__class__.__base__
<class 'object'>
>>> [].__class__.__base__
<class 'object'>
>>> {}.__class__.__base__
<class 'object'>
>>> ().__class__.__base__
<class 'object'>

一旦访问了 object，可以使用特殊的方法 `.__subclasses__()`[1] 来访问所有继承于 object 的类。下面是它的工作原理。

>>> for sub_class in ().__class__.__base__.__subclasses__():
... print(sub_class.__name__)
...
type
weakref
weakcallableproxy
weakproxy
int
...

这段代码将打印出一个大类列表。其中一些类的功能非常强大，因此也是一个重要的安全漏洞，而且我们无法通过简单地限制 eval() 的避免该漏洞。

>>> input_string = """[
... c for c in ().__class__.__base__.__subclasses__()
... if c.__name__ == "range"
... ][0](10 "0")"""
>>> list(eval(input_string, {"__builtins__": {}}, {}))
[0, 1, 2, 3, 4, 5, 6, 7, 8, 9]

上面代码中的列表推导式对继承自 object​ 的类进行过滤，返回一个包含 range​ 类的 list​。第一个索引（[0]​）返回类的范围。一旦获得了对 range​ 的访问权，就调用它来生成一个 range​ 对象。然后在 range​ 对象上调用 list()，从而生成一个包含十个整数的列表。

在这个例子中，用 range​ 来说明 eval()​ 函数中的一个安全漏洞。现在想象一下，如果你的系统暴露了像 subprocess.Popen 这样的类，一个恶意的用户可以做什么？

我们或许可以通过限制输入中的名字的使用，从而解决这个漏洞。该技术涉及以下步骤。

1. 创建一个包含你想用eval()使用的名字的字典。
2. 在eval​ 模式下使用compile() 将输入字符串编译为字节码。
3. 检查字节码对象上的.co_names，以确保它只包含允许的名字。
4. 如果用户试图输入一个不允许的名字，会引发一个`NameError`。

看看下面这个函数，我们在其中实现了所有这些步骤。

>>> def eval_expression(input_string):
... # Step 1
... allowed_names = {"sum": sum}
... # Step 2
... code = compile(input_string, "<string>", "eval")
... # Step 3
... for name in code.co_names:
... if name not in allowed_names:
... # Step 4
... raise NameError(f"Use of {name} not allowed")
... return eval(code, {"__builtins__": {}}, allowed_names)

eval_expression()​ 函数可以在 ​eval()​ 中使用的名字限制为字典 ​allowed_names​ 中的那些名字。而该函数使用了 .co_names，它是代码对象的一个属性，返回一个包含代码对象中的名字的元组。

下面的例子显示了eval_expression() 在实践中是如何工作的。

>>> eval_expression("3 + 4 * 5 + 25 / 2")
35.5
>>> eval_expression("sum([1, 2, 3])")
6
>>> eval_expression("len([1, 2, 3])")
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
File "<stdin>", line 10, in eval_expression
NameError: Use of len not allowed
>>> eval_expression("pow(10, 2)")
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
File "<stdin>", line 10, in eval_expression
NameError: Use of pow not allowed

如果调用 eval_expression()​ 来计算算术运算，或者使用包含允许的变量名的表达式，那么将会正常运行并得到预期的结果，否则会抛出一个`NameError`。上面的例子中，我们仅允许输入的唯一名字是sum()​，而不允许其他算术运算名称如len()​和pow()，所以当使用它们时，该函数会产生一个`NameError`。

如果完全不允许使用名字，那么可以把 eval_expression() 改写：

>>> def eval_expression(input_string):
... code = compile(input_string, "<string>", "eval")
... if code.co_names:
... raise NameError(f"Use of names not allowed")
... return eval(code, {"__builtins__": {}}, {})
...
>>> eval_expression("3 + 4 * 5 + 25 / 2")
35.5
>>> eval_expression("sum([1, 2, 3])")
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
File "<stdin>", line 4, in eval_expression
NameError: Use of names not allowed

现在函数不允许在输入字符串中出现任何变量名。需要检查.co_names​中的变量名，一旦发现就引发 NameError。否则计算 input_string​ 并返回计算的结果。此时也使用一个空的字典来限制locals。

我们可以使用这种技术来尽量减少eval()的安全问题，并加强安全盔甲，防止恶意攻击。

将输入限制为只有字数

函数eval()的一个常见用例是计算包含标准Python字面符号的字符串，并将其变成具体的对象。

标准库提供了一个叫做 literal_eval()[2] 的函数，可以帮助实现这个目标。虽然这个函数不支持运算符，但它支持 list, tuples, numbers, strings等等。

>>> from ast import literal_eval
>>> #计算字面意义
>>> literal_eval("15.02")
15.02
>>> literal_eval("[1, 15]")
[1, 15]
>>> literal_eval("(1, 15)")
(1, 15)
>>> literal_eval("{'one': 1, 'two': 2}")
{'one': 1, 'two': 2}
>>> # 试图计算一个表达式
>>> literal_eval("sum([1, 15]) + 5 + 8 * 2")
Traceback (most recent call last):
...
ValueError: malformed node or string: <_ast.BinOp object at 0x7faedecd7668>

注意，literal_eval()​只作用于标准类型的字词。它不支持使用运算符或变量名。如果向 literal_eval()​ 传递一个表达式，会得到一个 ValueError。这个函数还可以将与使用eval()有关的安全风险降到最低。

使用eval()与input()函数

在 Python 3.x 中，内置函数 input() 读取命令行上的用户输入，去掉尾部的换行，转换为字符串，并将结果返回给调用者。由于 input()​ 的输出结果是一个字符串，可以把它传递给 eval() 并作为一个 Python 表达式来计算它。

>>> eval(input("Enter a math expression: "))
Enter a math expression: 15 * 2
30
>>> eval(input("Enter a math expression: "))
Enter a math expression: 5 + 8
13

我们可以将函数 eval()​ 包裹在函数 input()​ 中，实现自动计算用户的输入的功能。一个常见用例模拟 Python 2.x 中 input()​ 的行为，input() 将用户的输入作为一个 Python 表达式来计算，并返回结果。

因为它涉及安全问题，因此在 Python 2.x 中的 input() 的这种行为在 Python 3.x 中被改变了。

构建一个数学表达式计算器

到目前为止，我们已经了解了函数 eval()​ 是如何工作的以及如何在实践中使用它。此外还了解到 eval()​ 具有重要的安全漏洞，尽量在代码中避免使用 eval()​，然而在某些情况下，eval()​ 可以为我们节省大量的时间和精力。因此，学会合理使用 ​eval() 函数还是蛮重要的。

在本节中，将编写一个应用程序来动态地计算数学表达式。首先不使用eval()来解决这个问题，那么需要通过以下步骤:

1. 解析输入的表达式。
2. 将表达式的组成部分变为Python对象（数字、运算符、函数等等）。
3. 将所有的东西合并成一个表达式。
4. 确认该表达式在Python中是有效的。
5. 计算最终表达式并返回结果。

考虑到 Python 可以处理和计算的各种表达式非常耗时。其实我们可以使用 eval() 来解决这个问题，而且通过上文我们已经学会了几种技术来规避相关的安全风险。

首先创建一个新的Python脚本，名为mathrepl.py，然后添加以下代码。

import math
 
 __version__ = "1.0"
 
 ALLOWED_NAMES = {
 k: v for k, v in math.__dict__.items() if not k.startswith("__")
 }
 
 PS1 = "mr>>"

WELCOME = f"""
MathREPL {__version__}, your Python math expressions evaluator!
Enter a valid math expression after the prompt "{PS1}".
Type "help" for more information.
Type "quit" or "exit" to exit.
"""

USAGE = f"""
Usage:
Build math expressions using numeric values and operators.
Use any of the following functions and constants:
{', '.join(ALLOWED_NAMES.keys())}
"""

在这段代码中，我们首先导入 math 模块。这个模块使用预定义的函数和常数进行数学运算。常量 ALLOWED_NAMES​ 保存了一个包含数学中非特变量名的字典。这样就可以用 eval() 来使用它们。

我们还定义了另外三个字符串常量。将使用它们作为脚本的用户界面，并根据需要打印到屏幕上。

现在准备编写核心功能，首先编写一个函数，接收数学表达式作为输入，并返回其结果。此外还需要写一个叫做 evaluate() 的函数，如下所示。

def evaluate(expression):
"""Evaluate a math expression."""
# 编译表达式
code = compile(expression, "<string>", "eval")

# 验证允许名称
for name in code.co_names:
if name not in ALLOWED_NAMES:
raise NameError(f"The use of '{name}' is not allowed")

return eval(code, {"__builtins__": {}}, ALLOWED_NAMES)

以下是该功能的工作原理。

1. 定义了evaluate()，该函数将字符串表达式作为参数，并返回一个浮点数，代表将字符串作为数学表达式进行计算的结果。
2. 使用compile()将输入的字符串表达式变成编译的Python代码。如果用户输入了一个无效的表达式，编译操作将引发一个 SyntaxError。
3. 使用一个for循环，检查表达式中包含的名字，并确认它们可以在最终表达式中使用。如果用户提供的名字不在允许的名字列表中，那么会引发一个NameError。
4. 执行数学表达式的实际计算。注意将自定义的字典传递给了globals和locals。ALLOWED_NAMES保存了数学中定义的函数和常量。

注意： 由于这个应用程序使用了 math 中定义的函数，需要注意，当我们用一个无效的输入值调用这些函数时，其中一些函数将抛出 ValueError 异常。

例如，math.sqrt(-10)​ 会引发一个异常，因为-10的平方根是未定义的。我们会在稍后的代码中看到如何捕捉该异常。

为 globals 和 locals 参数使用自定义值，加上名称检查，可以将与使用eval()有关的安全风险降到最低。

当在 main() 中编写其代码时，数学表达式计算器就完成了。在这个函数中，定义程序的主循环，结束读取和计算用户在命令行中输入的表达式的循环。

在这个例子中，应用程序将：

1. 向用户打印一条欢迎信息
2. 显示一个提示，准备读取用户的输入
3. 提供获取使用说明和终止应用程序的选项
4. 读取用户的数学表达式
5. 计算用户的数学表达式
6. 将计算的结果打印到屏幕上

def main():
"""Main loop: Read and evaluate user's input."""
print(WELCOME)
while True:
#读取用户的输入
try:
expression = input(f"{PS1} ")
except (KeyboardInterrupt, EOFError):
raise SystemExit()

# 处理特殊命令
if expression.lower() == "help":
print(USAGE)
continue
if expression.lower() in {"quit", "exit"}:
raise SystemExit()

# 对表达式进行计算并处理错误
try:
result = evaluate(expression)
except SyntaxError:
# 如果用户输入了一个无效的表达式
print("Invalid input expression syntax")
continue
except (NameError, ValueError) as err:
# 如果用户试图使用一个不允许的名字
# 对于一个给定的数学函数来说是一个无效的值
print(err)
continue

# 如果没有发生错误，则打印结果
print(f"The result is: {result}")

if __name__ == "__main__":
main()

在main()​中，首先打印WELCOME消息。然后在一个try语句中读取用户的输入，以捕获键盘中断和 EOFError。如果这些异常发生，就终止应用程序。

如果用户输入帮助选项，那么应用程序就会显示使用指南。同样地，如果用户输入quit​或exit，那么应用程序就会终止。

最后，使用evaluate()​来计算用户的数学表达式，然后将结果打印到屏幕上。值得注意的是，对 evaluate() 的调用会引发以下异常。

• SyntaxError：语法错误，当用户输入一个不符合Python语法的表达式时，就会发生这种情况。
• NameError：当用户试图使用一个不允许的名称（函数、类或属性）时，就会发生这种情况。
• ValueError：当用户试图使用一个不允许的值作为数学中某个函数的输入时，就会发生这种情况。

注意，在main()中，捕捉了所有已知异常，并相应地打印信息给用户。这将使用户能够审查表达式，修复问题，并再次运行程序。

现在已经使用函数 eval() 在大约七十行的代码中建立了一个数学表达式计算器。要运行这个程序，打开我们的系统命令行，输入以下命令。

$ python3 mathrepl.py

这个命令将启动数学表达式计算器的命令行界面(CLI)，会在屏幕上看到类似这样的东西。

MathREPL 1.0, your Python math expressions evaluator!
Enter a valid math expression after the prompt "mr>>".
Type "help" for more information.
Type "quit" or "exit" to exit.

mr>>

现在我们可以输入并计算任何数学表达式。例如，输入以下表达式。

mr>> 25 * 2
The result is: 50
mr>> sqrt(25)
The result is: 5.0
mr>> pi
The result is: 3.141592653589793

如果输入了一个有效的数学表达式，那么应用程序就会对其进行计算，并将结果打印到屏幕上。如果表达式有任何问题，那么应用程序会告诉我们。

mr>> 5 * (25 + 4
Invalid input expression syntax
mr>> sum([1, 2, 3, 4, 5])
The use of 'sum' is not allowed
mr>> sqrt(-15)
math domain error
mr>> factorial(-15)
factorial() not defined for negative values

在第一个示例中，漏掉了右括号，因此收到一条消息，告诉我们语法不正确。然后调用 sum()​ ，这会得到一个解释性的异常消息。最后，使用无效的输入值调用“math”函数，应用程序将生成一条消息来识别输入中的问题。

总结

你可以使用Python的 eval() 从基于字符串或基于代码的输入中计算Python 表达式。当我们动态地计算Python表达式，并希望避免从头创建自己的表达式求值器的麻烦时，这个内置函数可能很有用。

在本文中，我们已经学习了 eval() 是如何工作的，以及如何安全有效地使用它来计算任意Python表达式。

• 使用Python的eval()来动态计算基本的Python表达式
• 使用eval()运行更复杂的语句，如函数调用、对象创建和属性访问。
• 最大限度地减少与使用Python的eval()有关的安全风险​

위 내용은 Python eval 함수는 수학 표현식 계산기를 작성합니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!