Python 解析不可信代码的抽象语法树是否安全?
是否可以使用模块以编程方式解析和修改不受信任的外部Python代码Python 解析不可信代码的抽象语法树是否安全?,python,parsing,abstract-syntax-tree,Python,Parsing,Abstract Syntax Tree,是否可以使用模块以编程方式解析和修改不受信任的外部Python代码 我将只解析源代码,从源代码中获取一些信息(docstring、函数定义,也许,我不知道),然后将其留在那里,而不是编译或运行它。我相信是这样。不执行任何代码。事实上,解析ast正是ast.literal\u eval所做的,这被认为是安全的。如果您使用的是ast.parse函数,那么它应该是安全的。正如文档所述,此函数将 将源解析为AST节点。等效于编译(源代码、文件名、模式、ast.PyCF\u ONLY\u ast) 它只解
我将只解析源代码,从源代码中获取一些信息(docstring、函数定义,也许,我不知道),然后将其留在那里,而不是编译或运行它。我相信是这样。不执行任何代码。事实上,解析ast正是
ast.literal\u eval
所做的,这被认为是安全的。如果您使用的是ast.parse
函数,那么它应该是安全的。正如文档所述,此函数将
将源解析为AST节点。等效于编译(源代码、文件名、模式、ast.PyCF\u ONLY\u ast)
它只解析文件,即使它包含无效的Python代码。它不做任何评估
如果您的目标是计算表达式,那么您可以使用ast.literal\u eval
,这比内置的eval
语句更安全。“不安全”意味着由您参与的工件控制的不好的事情可能会发生。由于解析只构建AST,并且(假设解析和AST构建代码中没有恶意内容),因此解析任意一段文本不会对您造成伤害
通常,为了从外部获得恶意行为,某些东西(由您控制)必须执行一些提供的代码。显然,构建解析树不会执行外部程序。但是,如果您构建了一个解释解析树并运行它的解释器,您可能会遇到问题