Warning: file_get_contents(/data/phpspider/zhask/data//catemap/2/python/362.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
如何在Python中安全地使用exec()?_Python_Exec - Fatal编程技术网
Fatal编程技术网
  • python/
  • 如何在Python中安全地使用exec()?

如何在Python中安全地使用exec()?

python

如何在Python中安全地使用exec()?,python,exec,Python,Exec,我的任务是构建一个应用程序,最终用户可以使用自定义规则来评估返回的查询是否会导致警告或警报(基于自己的阈值) 我已经为用户建立了一种方法来模板化他们的逻辑。一个例子如下所示: if (abs(<<21>>) >= abs(<<22>>)): retVal = <<21>> else: retVal = <<22>> safe_list = ['math','acos', 'as

我的任务是构建一个应用程序,最终用户可以使用自定义规则来评估返回的查询是否会导致警告或警报(基于自己的阈值)

我已经为用户建立了一种方法来模板化他们的逻辑。一个例子如下所示:

if (abs(<<21>>) >= abs(<<22>>)):
    retVal = <<21>>
else:
    retVal = <<22>>

safe_list = ['math','acos', 'asin', 'atan', 'atan2', 'ceil', 'cos', 'cosh', 'de grees', 'e', 'exp', 'fabs', 'floor', 'fmod', 'frexp', 'hypot', 'ldexp', 'log', 'log10', 'modf', 'pi', 'pow', 'radians', 'sin', 'sinh', 'sqrt', 'tan', 'tanh'] 
safe_dict = dict([ (k, locals().get(k, None)) for k in safe_list ]) 
safe_dict['abs'] = abs
exec(execCd,{"__builtins__":None},safe_dict)
这将正确地
exec()
。现在,我该如何确保这一点?我看过这篇文章:

我的代码最终如下所示:

if (abs(<<21>>) >= abs(<<22>>)):
    retVal = <<21>>
else:
    retVal = <<22>>

safe_list = ['math','acos', 'asin', 'atan', 'atan2', 'ceil', 'cos', 'cosh', 'de grees', 'e', 'exp', 'fabs', 'floor', 'fmod', 'frexp', 'hypot', 'ldexp', 'log', 'log10', 'modf', 'pi', 'pow', 'radians', 'sin', 'sinh', 'sqrt', 'tan', 'tanh'] 
safe_dict = dict([ (k, locals().get(k, None)) for k in safe_list ]) 
safe_dict['abs'] = abs
exec(execCd,{"__builtins__":None},safe_dict)
但是,当我有第二个和第三个参数时,exec失败,出现此异常-
name错误:未定义名称“retVal”

最终用户拥有的一些自定义逻辑是广泛的,其中大部分是定期更改的。我不想维护他们的自定义逻辑,最终用户希望能够快速测试各种警告/警报阈值逻辑

如何从不安全(有意或无意)代码中保护此exec语句?

使用
eval
exec
的唯一安全方法是不使用它们

您不需要使用exec。不要构建要执行的字符串,而是将其解析为对象,并使用这些对象驱动代码执行

在最简单的情况下,您可以将函数存储在dict中,并使用字符串选择要调用的函数。如果您使用的是python语法,python提供了解析自身的所有实用程序,您应该使用它们。

您的
exec
语句并没有将retVal添加到本地环境中,而是添加到
安全字典中。所以你可以从那里取回它:


execCd = """
if (abs(22.0) >= abs(-162.0)):
    retVal = 22.0
else:
    retVal = -162.0
"""

safe_list = ['math','acos', 'asin', 'atan', 'atan2', 'ceil', 'cos', 'cosh', 'de grees', 'e', 'exp', 'fabs', 'floor', 'fmod', 'frexp', 'hypot', 'ldexp', 'log', 'log10', 'modf', 'pi', 'pow', 'radians', 'sin', 'sinh', 'sqrt', 'tan', 'tanh'] 
safe_dict = dict([ (k, locals().get(k, None)) for k in safe_list ]) 
safe_dict['abs'] = abs
exec(execCd,{"__builtins__":None},safe_dict)
retVal = safe_dict["retVal"]



犯错误(我可以正确地复制和粘贴,真的)你能把你在这里谈论的UTIL包括在内吗?尽管这是大约8年前的事,我还是会回答的。我相信
ast
模块就是他们所谈论的。你能举个例子说明如何避免使用exec吗?