Python 的 eval() 对不受信任的字符串的安全性如何？

问题描述：

如果我使用 eval() 评估 Python 字符串，并且有一个类似这样的类：

class Foo(object):
    a = 3
    def bar(self, x): return x + a

如果我不信任该字符串，会有哪些安全风险？特别是：

1. 不安全吗eval(string, {"f": Foo()}, {})？也就是说，你能从 Foo 实例到达 os 或 sys 或某些不安全的东西吗？

2. 不安全吗eval(string, {}, {})？也就是说，我能否完全通过 len 和 list 等内置函数访问 os 或 sys？

3. 有没有办法让内置命令在 eval 上下文中完全不存在？

有些不安全的字符串，例如“[0] * 100000000”，我不关心，因为最坏的情况下它们会减慢或停止程序。我主要关心的是保护程序外部的用户数据。

显然，eval(string)大多数情况下没有自定义词典是不安全的。

解决方案 1：

eval()将允许恶意数据危害你的整个系统，杀死你的猫，吃掉你的狗并与你的妻子做爱。

最近在 python-dev 列表上有一个关于如何安全地执行此类操作的帖子，结论是：

• 要做好这件事真的很难。

• 它需要对 Python 解释器进行修补以阻止多种类型的攻击。

• 除非你真的想这么做，否则不要这么做。

从这里开始阅读有关挑战的信息：http ://tav.espians.com/a-challenge-to-break-python-security.html

您想在什么情况下使用 eval()？您想让用户能够执行任意表达式吗？还是想以某种方式传输数据？也许可以以某种方式锁定输入。

解决方案 2：

您无法使用这样的黑名单方法来保护 eval。请参阅Eval 确实很危险，了解输入会导致 CPython 解释器分段错误、授予对任何您喜欢的类的访问权限等的示例。

解决方案 3：

您可以使用os内置函数：__import__('os')。

对于 python 2.6+，ast 模块可能会有帮助；特别是ast.literal_eval，尽管它取决于您到底想要评估什么。

解决方案 4：

请注意，即使你将空字典传递给 eval()，仍然可能通过一些语法技巧导致 (C)Python 出现段错误。例如，在你的解释器上尝试以下操作：eval("()"*8**5)

解决方案 5：

你最好把这个问题反过来问：

1. 您想要评估哪种表达？

2. 你能确保只有符合某些狭义语法的字符串才会被 eval() 吗？

3. 然后考虑一下是否安全。

例如，如果您希望让用户输入代数表达式进行求值，请考虑将其限制为一个字母的变量名、数字以及一组特定的运算符和函数。不要使用包含其他任何内容的 eval() 字符串。

解决方案 6：

Mark Pilgrim 的Dive into Python教程中有一篇关于不安全性的非常好的文章eval()。

引自这篇文章：

最后，可以安全地评估不受信任的 Python 表达式，因为“安全”的某些定义在现实生活中并没有太大用处。如果你只是玩玩，这没问题，如果你只传递受信任的输入，这也没问题。但其他任何事情都只是自找麻烦。