Python中`eval()`函数的核心作用是将字符串作为Python表达式进行解析、计算并返回其值[ref_1]。它是一个强大的内置函数，允许在运行时动态执行代码，但同时也带来了显著的安全风险。其完整功能、用法与风险如下表所示： | 核心方面 | 说明 | | :--- | :--- | | **主要作用** | 执行一个字符串表达式，并返回表达式的计算结果[ref_1][ref_3]。 | | **核心功能** | 1. **计算表达式**：处理数学、逻辑运算。<br>2. **数据类型转换**：将字符串形式的列表、字典等转换为对应对象[ref_3]。<br>3. **动态代码执行**：基于字符串内容执行Python代码。 | | **语法签名** | `eval(expression[, globals[, locals]])`[ref_1] | | **关键限制** | 只能用于**表达式**（即会产生一个值的代码片段），不能执行赋值、循环、函数定义等**语句**[ref_2]。 | | **主要风险** | 若执行不受信任的字符串（如用户输入），可能导致**恶意代码执行**、**文件删除**、**系统信息泄露**等严重安全问题[ref_2][ref_6]。 | ### 1. 基本用法与参数详解 `eval()`接收三个参数：必需的`expression`字符串，以及可选的`globals`和`locals`命名空间字典[ref_1][ref_5]。 ```python # 示例1：计算数学表达式 result = eval('3 * 5 + 2') print(result) # 输出：17 [ref_3] # 示例2：数据类型转换 list_str = "[1, 2, 3, 4]" dict_str = "{'name': 'Alice', 'age': 25}" converted_list = eval(list_str) converted_dict = eval(dict_str) print(type(converted_list), converted_list) # 输出：<class 'list'> [1, 2, 3, 4] print(type(converted_dict), converted_dict) # 输出：<class 'dict'> {'name': 'Alice', 'age': 25} [ref_3] # 示例3：使用变量（需在命名空间中定义） x = 10 y = 20 # 在全局命名空间中查找 x 和 y result2 = eval('x + y', globals()) print(result2) # 输出：30 [ref_1] # 示例4：通过locals参数提供局部命名空间 local_vars = {'a': 100, 'b': 200} result3 = eval('a * b', {}, local_vars) # 全局命名空间为空字典 print(result3) # 输出：20000 [ref_1][ref_5] ``` **参数控制说明**： * **`globals` 参数**：用于指定表达式执行时的全局命名空间。如果提供，则表达式只能访问该字典中的键和内置函数（`__builtins__`）。如果省略，则使用当前全局命名空间[ref_5]。 * **`locals` 参数**：用于指定局部命名空间。通常为字典。如果省略，默认与`globals`相同。实践中，`globals`和`locals`常用于限制`eval`可访问的变量，以增强安全性[ref_2][ref_5]。 ### 2. 安全风险与攻击示例 `eval()`最大的问题是**任意代码执行**。如果直接执行未经处理的用户输入，攻击者可以注入恶意代码[ref_2][ref_6]。 ```python # ⚠️ 危险示例：模拟用户输入 # 假设这是一个来自不可信来源的输入 user_input = "__import__('os').system('rm -rf /some/important/dir')" # 尝试删除系统目录 # 如果直接执行 eval(user_input)，将造成灾难性后果 [ref_2][ref_6] # 另一个危险示例：窃取敏感信息 malicious_code = "__import__('os').listdir('.')" # 列出当前目录文件 # eval(malicious_code) 可能导致目录结构泄露 ``` ### 3. 安全使用建议与替代方案 鉴于其高风险，应尽可能避免使用`eval()`，尤其是在处理外部输入时[ref_2]。必须使用时，应遵循最小权限原则。 #### 3.1 安全实践：限制命名空间 通过严格限制`globals`和`locals`，可以禁用危险的内置函数和模块[ref_2]。 ```python # 示例：创建安全的命名空间，禁用 __builtins__ safe_globals = {"__builtins__": None} # 禁用所有内置函数和模块 local_vars = {"x": 5, "y": 3} # 尝试执行一个简单的数学表达式 try: safe_result = eval("x ** y", safe_globals, local_vars) print(f"安全计算结果是：{safe_result}") # 输出：125 except Exception as e: print(f"执行被阻止：{e}") # 尝试执行危险代码将被阻止 try: eval("__import__('os').system('dir')", safe_globals, {}) except Exception as e: print(f"危险代码被成功阻止：{e}") # 将抛出 NameError，因为 __import__ 未定义 [ref_2] ``` #### 3.2 更安全的替代方案：`ast.literal_eval()` 对于将字符串转换为Python基本数据类型（数字、字符串、列表、元组、字典）的需求，**`ast.literal_eval()`是首选的安全替代品**。它只解析并计算Python字面量结构，不会执行函数或方法调用，从根本上杜绝了代码执行风险[ref_2][ref_5]。 ```python import ast # 安全地进行数据类型转换 safe_list = ast.literal_eval("[1, 2, 3]") safe_dict = ast.literal_eval("{'key': 'value'}") print(safe_list, safe_dict) # 输出：[1, 2, 3] {'key': 'value'} [ref_2] # 尝试执行表达式或函数调用会报错 try: ast.literal_eval("__import__('os').system('dir')") except ValueError as e: print(f"ast.literal_eval 阻止了危险操作：{e}") # 输出：malformed node or string try: ast.literal_eval("2 + 3") except ValueError as e: print(f"ast.literal_eval 不支持表达式计算：{e}") ``` #### 3.3 其他替代方案 * **使用`json.loads()`**：如果数据格式是JSON，应使用`json.loads()`进行解析，它比`eval()`更安全且效率更高[ref_5]。 * **预定义函数/变量白名单**：在必须使用`eval`执行有限逻辑的场景下，可以预先定义一套安全的函数和变量映射表，只允许执行白名单内的操作[ref_2]。 * **使用`exec()`处理语句**：如果需要动态执行赋值、循环等语句（而非表达式），应使用`exec()`函数。但`exec()`同样面临严重的安全风险，使用时需加倍谨慎[ref_5]。 ### 总结 `eval()`是一个强大的工具，能够实现动态表达式求值和数据转换[ref_3]。然而，其“将字符串当作代码执行”的特性使其成为严重的安全漏洞来源[ref_6]。在开发中，应严格遵守以下原则：**1. 绝不使用`eval()`解析来自用户、网络或任何不可信源的字符串。2. 如果目的是安全地转换数据结构，无条件地选择`ast.literal_eval()`或`json.loads()`。3. 在极少数必须使用`eval()`的内部场景中，必须通过限制`globals`和`locals`参数来严格沙箱化其执行环境**[ref_2][ref_5]。