Python 中的 `eval()` 是一个内置函数，用于**将一个字符串当作有效的 Python 表达式进行求值，并返回计算结果**。它主要用于动态执行由字符串构成的 Python 代码。其核心用法、潜在风险及最佳实践可以概括如下表： | 核心维度 | 详细说明 | | :--- | :--- | | **主要功能** | 将字符串作为 Python 表达式解析、求值并返回结果。 | | **基本语法** | `eval(expression, globals=None, locals=None)` | | **常见用途** | 1. 动态计算数学/逻辑表达式。<br>2. 将字符串安全地转换为列表、字典等数据结构。<br>3. 在特定受控环境下执行动态代码。 | | **核心风险** | **任意代码执行漏洞**。若输入字符串来自不可信源，可能导致文件删除、数据泄露、系统命令执行等严重后果 [ref_1][ref_2][ref_4]。 | | **黄金准则** | **绝不将用户直接输入或来自不可信源的字符串传递给 `eval()`**[ref_2]。 | | **安全替代方案** | 1. **`ast.literal_eval()`**：仅安全评估常量 Python 字面量结构。<br>2. 使用 `operator` 模块进行特定运算。<br>3. 使用自定义解析器或规则引擎。 | ### 一、语法与核心参数 `eval()` 的标准语法如下 [ref_1][ref_3]： ```python result = eval(expression, globals=None, locals=None) ``` 各参数含义如下表所示： | 参数 | 类型 | 说明 | 可选性 | | :--- | :--- | :--- | :--- | | `expression` | 字符串 | 要执行的 Python 表达式字符串。 | **必需** | | `globals` | 字典 | 定义执行时**全局命名空间**的字典。若为 `None`，则使用当前全局命名空间的拷贝。 | 可选 | | `locals` | 字典 | 定义执行时**局部命名空间**的字典。若为 `None`，则使用 `globals` 字典（若未提供 `globals`，则使用当前全局命名空间）。 | 可选 | 通过控制 `globals` 和 `locals` 参数，可以限制 `eval()` 执行时可访问的变量和函数，这是实现安全使用的重要手段。 ### 二、基础用法与代码示例 #### 1. 计算数学与逻辑表达式 这是 `eval()` 最直接的应用，可以动态解析字符串形式的公式。 ```python # 计算数学表达式 result1 = eval("2 + 3 * 4") print(result1) # 输出：14 [ref_1] # 计算逻辑表达式 result2 = eval("'a' in ['a', 'b', 'c']") print(result2) # 输出：True [ref_4] # 使用内置函数 result3 = eval("abs(-10) + len('hello')") print(result3) # 输出：15 [ref_5] ``` #### 2. 字符串到数据结构的转换 相比 `json.loads()`，`eval()` 可以处理更广泛的 Python 字面量，如元组、集合等，但风险极高。 ```python # 将字符串转换为列表 list_str = "[1, 2, 3, 'a']" list_obj = eval(list_str) print(type(list_obj), list_obj) # 输出：<class 'list'> [1, 2, 3, 'a'] [ref_5] # 将字符串转换为字典 dict_str = "{'name': 'Alice', 'age': 30}" dict_obj = eval(dict_str) print(type(dict_obj), dict_obj) # 输出：<class 'dict'> {'name': 'Alice', 'age': 30} [ref_3][ref_5] ``` **注意**：这种转换方式存在严重安全隐患，应优先使用 `json.loads()` 或 `ast.literal_eval()`。 #### 3. 访问与修改变量 `eval()` 可以在其执行上下文中访问和修改变量。 ```python x = 10 y = 20 # 访问变量进行计算 result = eval("x + y") print(result) # 输出：30 [ref_3] # 通过命名空间修改变量 namespace = {'a': 5, 'b': 10} eval('a = a + b', namespace) print(namespace['a']) # 输出：15 ``` ### 三、高级特性与安全风险 #### 1. 使用 `globals` 和 `locals` 限制命名空间 这是限制 `eval()` 能力的关键。通过传递一个不包含危险函数（如 `__import__`, `open`, `os.system`）的字典，可以创建一个沙箱环境 [ref_2][ref_3]。 ```python # 定义一个安全的全局命名空间，移除所有内置函数 safe_globals = {'__builtins__': None} # 或设置为一个空字典 # 或者，只允许白名单内的函数 allowed_globals = {'__builtins__': {'abs': abs, 'max': max, 'min': min}} try: # 尝试调用危险函数会被阻止 result = eval("open('test.txt', 'r')", allowed_globals) except Exception as e: print(f"执行被安全限制: {e}") # 会抛出 NameError: name 'open' is not defined [ref_3] ``` #### 2. 严重的安全风险演示 如果不对输入进行任何控制，`eval()` 可以执行任意 Python 代码。 ```python # 危险示例：永远不要在真实环境中这样做 user_input = "__import__('os').system('rm -rf /')" # 模拟恶意输入 # 执行此 eval 命令将尝试删除系统根目录（如果有权限） # eval(user_input) # 致命操作！切勿运行！ ``` 其他可能的攻击包括：读取敏感文件（`open('/etc/passwd').read()`）、消耗系统资源、发起网络请求等 [ref_1][ref_4]。 ### 四、安全使用指南与替代方案 鉴于 `eval()` 的巨大风险，必须遵循严格的准则。 #### 1. 黄金准则 * **永不信任用户输入**：绝对禁止将原始的用户输入字符串直接传递给 `eval()` [ref_2]。 * **最小化使用范围**：评估是否有其他更安全的方案可以实现相同功能。 * **严格限制命名空间**：总是明确指定 `globals` 和 `locals` 参数，仅暴露必要的、安全的函数和变量 [ref_2][ref_6]。 #### 2. 首选的替代方案：`ast.literal_eval()` `ast.literal_eval()` 是 `ast` 模块提供的函数，它**只能安全地评估由 Python 字面量组成的表达式**，如字符串、数字、元组、列表、字典、布尔值和 `None`。它不支持变量、函数调用或任何形式的运算符（除了字面量的构造符），因此是绝对安全的 [ref_1][ref_4]。 ```python import ast # 安全地将字符串转换为数据结构 safe_list = ast.literal_eval("[1, 2, 3]") print(safe_list) # 输出：[1, 2, 3] safe_dict = ast.literal_eval("{'key': 'value'}") print(safe_dict) # 输出：{'key': 'value'} # 尝试执行危险代码会直接报错，而非执行 try: ast.literal_eval("__import__('os').system('ls')") except (SyntaxError, ValueError) as e: print(f"安全地被阻止: {e}") # 输出：安全地被阻止: malformed node or string [ref_4] ``` **结论**：当需要将字符串转换为基本数据结构时，**应始终优先使用 `ast.literal_eval()` 替代 `eval()`**[ref_1][ref_4]。 #### 3. 其他替代方案 | 需求场景 | 安全替代方案 | 说明 | | :--- | :--- | :--- | | 执行动态代码块 | **`exec()`** | 用于执行语句（而非表达式），同样存在安全风险，使用时需同等谨慎。通常与 `eval()` 对比讨论 [ref_3]。 | | 进行数学运算 | **`operator` 模块** | 提供对应操作符的函数（如 `operator.add`, `operator.mul`），通过函数映射实现安全计算。 | | 复杂规则/逻辑 | **自定义解析器/规则引擎** | 对于复杂的动态逻辑，应使用专门的解析库（如 `pyparsing`）或规则引擎来实现，而非 `eval()` [ref_2]。 | ### 五、总结 `eval()` 是一个功能强大但极其危险的工具。其核心价值在于动态执行表达式，主要风险在于**任意代码执行** [ref_4]。在实际开发中，应遵循以下优先级： 1. **首选 `ast.literal_eval()`** 进行安全的字符串到字面量的转换。 2. 如果必须使用 `eval()`，则**必须**对输入源进行严格白名单校验，并**必须**通过 `globals` 和 `locals` 参数限制可访问的命名空间，创建一个受控的“沙箱” [ref_2][ref_6]。 3. 探索使用 `operator` 模块、自定义解析器等更安全的替代方案来实现业务逻辑。 牢记：**`eval()` 的安全性完全取决于开发者对其输入和环境的严格控制能力** [ref_6]。在 Web 应用、接受外部输入的程序等场景下，应极力避免使用 `eval()`。