一尘不染

在raw_input上使用Python的输入是否有用?

python

我目前正在教一年级的大学生python,而令我惊讶的input是,我的一些学生决定使用(似乎被奇怪的行为所迷惑)看似无害的功能,却在eval背后隐藏了一个电话。

所以我的问题是,为什么要input调用该函数eval,并且这样做会更安全raw_input呢?我知道Python
3中已对此进行了更改,但乍一看似乎是一个不寻常的设计决策。

Python 2.x输入函数文档


阅读 262

收藏
2021-01-20

共1个答案

一尘不染

在raw_input上使用Python 2的输入是否有用?

没有。


input()评估用户提供的代码。它将Python的全部功能掌握在用户手中。使用生成器表达式/列表推导,__import__if/else运算符,实际上,Python可以用一个表达式来完成任何工作。恶意用户可以使用input()删除文件(__import__('os').remove('precious_file')),修补程序的其余部分(setattr(__import__('__main__'), 'function', lambda:42))等等。

普通用户不需要使用所有高级功能。如果不需要表达式,请使用ast.literal_eval(raw_input())–该literal_eval函数是安全的。

如果您是为高级用户编写的,请为他们提供一种更好的输入代码的方法。插件,用户模块等–具有完整的Python语法,而不仅仅是功能。

如果您完全确定自己知道自己在做什么,请说eval(raw_input())。在eval尖叫“我很危险的!”
到训练有素的眼睛。但是,很有可能您永远都不需要这个。


input() 是Python 3解决的旧设计错误之一。

2021-01-20