eval()用于计算表达式并返回结果,exec()用于执行语句块且不返回值。1.eval()处理单个表达式并返回值,如数学运算或字典解析;exec()执行多行代码或语句块,如赋值、函数定义等。2.eval()会返回表达式的结果,而exec()仅执行操作无返回值。3.两者均存在安全风险,若执行不可信输入可能导致系统破坏或数据泄露,应避免处理用户输入,或限制命名空间及使用ast.literal_eval()替代。4.eval()适用于计算表达式,exec()适合动态创建函数或执行脚本。
在 Python 中,eval() 和 exec() 都是用来动态执行字符串形式的代码,但它们适用的场景和功能有明显区别。简单来说,eval() 用于计算表达式并返回结果,而 exec() 用于执行语句块,不返回值。如果你只是想运行一段动态生成的代码,用 exec() 更合适;如果只是想求一个表达式的值,比如数学运算或变量替换,就用 eval()。
下面从几个角度讲清楚两者的差异和潜在风险。
1. 基本功能差异:表达式 vs 语句
eval() 只能处理表达式(expression),也就是说它只能执行会返回一个值的代码。例如:
result = eval("2 + 3 * 5")print(result) # 输出 17
exec() 能处理完整的语句块(statements),包括赋值、函数定义、循环等。例如:
立即学习“Python免费学习笔记(深入)”;
code = """a = 10b = 20print(a + b)"""exec(code) # 输出 30
所以如果你要运行多行代码或者修改变量状态,只能用 exec()。
2. 返回值的区别:有没有结果
eval() 会返回表达式的结果。例如:
value = eval("{'name': 'Tom', 'age': 25}")print(type(value)) #
exec() 不返回值(返回的是 None),它的作用是“做事情”,而不是“算结果”。比如你可以用它来定义函数:
exec("def say_hello(): print('Hello!')")say_hello() # 输出 Hello!
3. 安全风险:不要轻易执行不可信输入
这两个函数最大的问题就是——它们可以执行任意代码。如果用户输入的内容被当作参数传给 eval() 或 exec(),那就可能带来严重的安全隐患。
常见风险举例:
删除文件、修改系统设置等破坏性操作:
# 想象用户输入了这样的字符串user_input = "__import__('os').system('rm -rf /')"# 如果你用了 eval 或 exec 执行这个字符串……后果严重
获取敏感信息、泄露数据:
# 用户构造输入读取密码变量user_input = "password"
如何降低风险?
尽量避免使用 eval() 和 exec() 处理用户输入。
如果一定要用,限制命名空间,禁用内置模块:
safe_globals = {"__builtins__": None} # 禁用所有内置函数exec("print('hello')", safe_globals) # 会报错,无法执行
使用更安全的替代方案,比如 ast.literal_eval() 来解析字符串中的字面量(如列表、字典):
import astdata = ast.literal_eval("{'name': 'Tom', 'age': 25}")print(data) # 安全地转为 dict
4. 什么时候该用哪个?常见使用场景
计算数学表达式eval()比如计算器程序解析输入解析字符串成结构化数据ast.literal_eval()比如解析 JSON 字符串动态创建函数或类exec()运行时根据配置生成逻辑执行用户自定义脚本exec()但要注意权限控制
基本上就这些。eval() 和 exec() 都很强大,但也容易出问题。用的时候要清楚自己在干什么,尤其是面对外部输入时,千万不能掉以轻心。
以上就是Python里eval与exec区别 动态代码执行eval和exec的安全风险的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1362458.html
微信扫一扫 
支付宝扫一扫 
