Python内置eval()函数用于动态执行字符串形式的Python表达式并返回结果,但因可执行任意代码而存在严重安全风险,推荐优先使用ast.literal_eval()等更安全的替代方案。
符串形式的Python表达式并返回结果,但因可执行任意代码而存在严重安全风险,推荐优先使用ast.literal_eval()等更安全的替代方案。有,Python 中确实内置了 eval() 函数。
eval 的作用是什么
它用来**动态执行一个字符串形式的 Python 表达式**,并返回表达式的结果。比如 eval("2 + 3") 会返回整数 5,eval("[1, 2, 3]") 会返回列表 [1, 2, 3]。
使用 eval 的常见场景
一般用于需要运行用户输入或配置文件中定义的简单计算、数据结构解析等场合,例如:
- 解析 JSON 格式的字符串(但更推荐用
json.loads()) - 简易计算器程序中处理数学表达式输入
- 某些插件系统中动态加载配置项(需谨慎)
eval 有什么风险
非常危险,不建议随意使用。 因为它能执行任意合法的 Python 代码,包括调用函数、读写文件、删除数据等。例如:
eval("__import__('os').system('rm -rf /')") —— 这类操作可能导致严重安全问题。
如果必须用,应严格限制输入来源,并考虑用 ast.literal_eval() 替代(它只支持字面量,如数字、字符串、元组、列表、字典等,更安全)。
有没有更安全的替代方案
有,根据需求可选:
- 解析数字、布尔、None:直接用
ast.literal_eval() - 解析 JSON 字符串:用标准库
json.loads() - 需要执行复杂逻辑:改用明确的函数映射或专用表达式引擎(如
simpleeval库)
