Python：使 eval 安全[重复]

问题描述：

我想要一种在 Python 中实现“计算器 API”的简单方法。

现在我不太关心计算器将支持的具体功能集。

我希望它接收一个字符串，然后"1+1"返回一个带有结果的字符串，在我们的例子中"2"。

有没有办法确保eval这样的事情是安全的？

首先，我会

env = {}
env["locals"]   = None
env["globals"]  = None
env["__name__"] = None
env["__file__"] = None
env["__builtins__"] = None

eval(users_str, env)

这样调用者就不能干扰我的局部变量（或者看到它们）。

但我确信我在这里监督了很多事情。

的安全问题可以eval解决吗，还是说有太多微小的细节影响其正常运行？

解决方案 1：

eval 的安全问题可以修复吗，还是说有太多微小的细节影响它正常工作？

绝对是后者——聪明的黑客总能找到办法绕过你的预防措施。

如果您对仅使用基本类型文字的普通表达式感到满意，请使用ast.literal_eval —— 这就是它的用途！对于任何更高级的东西，我推荐一个解析包，例如，如果您熟悉并习惯使用经典的 lexx/yacc 方法，则可以使用 ply，或者如果您采用可能更 Pythonic 的方法，则可以使用 pyparsing 。

解决方案 2：

可以访问进程中定义的任何类，然后可以实例化它并调用其上的方法。 可能会导致 CPython 解释器出现段错误，或使其退出。 请参阅： Eval 真的很危险

解决方案 3：

这些安全问题还无法（甚至接近）解决。

我会将pyparsing表达式解析为标记列表（这应该不太难，因为语法很简单），然后单独处理标记。

您还可以使用该ast模块来构建 Python AST（因为您使用的是有效的 Python 语法），但这可能会带来微妙的安全漏洞。

解决方案 4：

Perl 有一个 Safe eval 模块http://perldoc.perl.org/Safe.html

谷歌搜索“Perl Safe 的 Python 版本”可以找到
http://docs.python.org/2/library/rexec.html

但是这个 Python“受限执行”已经被弃用了。

--

总体而言，对于任何语言来说，“eval” 的安全性都是一个大问题。SQL 注入攻击只是这种安全漏洞的一个例子。Perl Safe 多年来一直存在安全漏洞 - 我记得最近的一个是，它是安全的，除了从安全 eval 返回的对象上的析构函数。

我可能会将其用作我自己的工具，但不会在网络上公开。

不过，我希望有一天，完全安全的评估可以在多种/任何语言中使用。