eval是Python的一個內(nèi)置函數(shù)，這個函數(shù)的作用是，返回傳入字符串的表達式的結(jié)果。想象一下變量賦值時，將等號右邊的表達式寫成字符串的格式，將這個字符串作為eval的參數(shù)，eval的返回值就是這個表達式的結(jié)果。

python中eval函數(shù)的用法十分的靈活，但也十分危險，安全性是其最大的缺點。本文從靈活性和危險性兩方面介紹eval。

1、強大之處

舉幾個例子感受一下，字符串與list、tuple、dict的轉(zhuǎn)化。

a="[[1,2],[3,4],[5,6],[7,8],[9,0]]"

b=eval(a)

b

Out[3]:[[1,2],[3,4],[5,6],[7,8],[9,0]]

type(b)

Out[4]:list

a="{1:'a',2:'b'}"

b=eval(a)

b

Out[7]:{1:'a',2:'b'}

type(b)

Out[8]:dict

a="([1,2],[3,4],[5,6],[7,8],(9,0))"

b=eval(a)

b

Out[11]:([1,2],[3,4],[5,6],[7,8],(9,0))

強大吧，給個字符串給eval，eval給你一個表達式返回值。

eval的語法格式如下：

eval(expression[,globals[,locals]])

expression：字符串

globals：變量作用域，全局命名空間，如果被提供，則必須是一個字典對象。

locals：變量作用域，局部命名空間，如果被提供，可以是任何映射對象。

結(jié)合globals和locals看看幾個例子

傳遞globals參數(shù)值為{“age”:1822}，

eval("{'name':'linux','age':age}",{"age":1822})

輸出結(jié)果

{‘name':‘linux',‘a(chǎn)ge':1822}

再加上locals變量

age=18

eval("{'name':'linux','age':age}",{"age":1822},locals())

根據(jù)上面兩個例子可以看到當locals參數(shù)為空，globals參數(shù)不為空時，查找globals參數(shù)中是否存在變量，并計算。

當兩個參數(shù)都不為空時，先查找locals參數(shù)，再查找globals參數(shù)，locals參數(shù)中同名變量會覆蓋globals中的變量。

2、危險之處

eval雖然方便，但是要注意安全性，可以將字符串轉(zhuǎn)成表達式并執(zhí)行，就可以利用執(zhí)行系統(tǒng)命令，刪除文件等操作。

假設(shè)用戶惡意輸入。比如：

eval("__import__('os').system('ls/home/pythontab.com/www/')")

那么eval()之后，你會發(fā)現(xiàn)，當前文件夾文件都會展如今用戶前面。這句其實相當于執(zhí)行了

os.system('ls/home/pythontab.com/www/')

那么繼續(xù)輸入：

eval("__import__('os').system('cat/home/pythontab.com/www/test.sql')")

代碼都給人看了。

再來一條刪除命令，文件消失。比如

eval("__import__('os').system('rm/home/pythontab.com/www/test.data')")

所以使用eval，一方面享受他的了靈活性同時，也要注意安全性。

以上內(nèi)容為大家介紹了Python中eval的用法及注意事項，希望對大家有所幫助，如果想要了解更多Python相關(guān)知識，請關(guān)注IT培訓機構(gòu):千鋒教育。http://m.2667701.com/