`eval()` lwn. `ast.literal_eval()`: Manakah yang Lebih Selamat untuk Menilai Input Pengguna?

Menggunakan Python's eval() vs. ast.literal_eval()

Pertanyaan: Semasa menilai data yang disediakan pengguna , adakah lebih selamat untuk menggunakan eval() atau ast.literal_eval() untuk memastikan ia sepadan dengan yang dikehendaki jenis data?

Penyelesaian:

Apabila bekerja dengan data yang disediakan pengguna, adalah penting untuk mempertimbangkan risiko keselamatan. Menggunakan eval() boleh berbahaya kerana ia menilai sebarang input rentetan sebagai kod Python, yang berpotensi membawa kepada tindakan yang tidak dijangka atau berniat jahat.

Dalam senario yang diterangkan, datamap = eval(input('Sediakan beberapa data di sini: ') ) amat berisiko kerana ia menilai input sebaik sahaja fungsi dipanggil, tidak meninggalkan peluang untuk mengesahkan jenisnya sebelum pelaksanaan.

Alternatif yang lebih selamat ialah ast.literal_eval(), yang menyemak jenis data Python yang sah (cth., kamus) sebelum penilaian. Ia memberikan pengecualian jika input bukan jenis yang sah, menghalang kod yang berpotensi berbahaya daripada dijalankan.

Oleh itu, apabila menilai jenis data Python literal daripada input pengguna, adalah amat disyorkan untuk menggunakan ast.literal_eval() berbanding eval () untuk memastikan keselamatan data dan mencegah kelemahan keselamatan.

Atas ialah kandungan terperinci `eval()` lwn. `ast.literal_eval()`: Manakah yang Lebih Selamat untuk Menilai Input Pengguna?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!