Python что такое eval
Как использовать метод eval() в Python?
Метод eval() анализирует выражение, переданное этому методу, и запускает выражение (код) Python внутри программы.
Проще говоря, функция eval() запускает код Python (который передается в качестве аргумента) в программе.
Функция eval() принимает три параметра:
Метод eval() возвращает результат, вычисленный на основе выражения.
Пример 1
Здесь функция eval() вычисляет выражение x + 1, и print используется для отображения этого значения.
Пример 2
Предупреждения при использовании eval()
Рассмотрим ситуацию, когда вы используете систему Unix (macOS, Linux и т. Д.) И импортировали модуль ОС. Модуль os предоставляет переносимый способ использования функций операционной системы, таких как чтение или запись в файл.
Если вы используете eval (input()) в своем коде, рекомендуется проверить, какие переменные и методы может использовать пользователь. Вы можете увидеть, какие переменные и методы доступны, используя метод dir().
Ограничение использования доступных методов и переменных в eval()
Чаще всего все доступные методы и переменные, используемые в выражении (первый параметр eval()), могут не понадобиться или даже могут иметь брешь в безопасности. Возможно, вам придется ограничить использование этих методов и переменных для eval(). Вы можете сделать это, передав необязательные глобальные и локальные параметры (словари) в функцию eval().
1 Если опущены и глобальные, и локальные параметры
Если оба параметра опущены (как в наших предыдущих примерах), выражение выполняется в текущей области. Вы можете проверить доступные переменные и методы, используя следующий код:
2 Передача глобальных параметров
Примечание. Вы можете проверить текущий глобальный и локальный словарь в Python, используя встроенные методы globals() и locals() соответственно.
3 Передача пустого словаря в качестве параметра глобальных переменных
Несмотря на то, что мы импортировали математический модуль в приведенную выше программу, выражение не может получить доступ к функциям, предоставляемым математическим модулем.
4 Обеспечение доступности определенных методов
Здесь выражение может использовать только методы sqrt() и pow() вместе с __builtins__.
Также можно изменить имя метода, доступного для выражения, по вашему желанию:
В приведенной выше программе square_root() вычисляет квадратный корень с помощью sqrt(). Однако попытка использовать sqrt() напрямую вызовет ошибку.
5 Ограничение использования встроенных модулей
Вы можете ограничить использование __builtins__ в выражении следующим образом:
3 Передача как глобальных, так и локальных словарей
Вы можете сделать необходимые функции и переменные доступными для использования, передав словарь locals. Например:
В этой программе выражение может иметь только метод sqrt() и переменную a. Все остальные методы и переменные недоступны.
Ограничение использования eval() путем передачи глобальных и локальных словарей сделает ваш код безопасным, особенно когда вы используете ввод, предоставленный пользователем методу eval().
Примечание. Иногда eval() небезопасен даже с ограниченными именами. Когда объект и его методы становятся доступными, можно делать практически все. Единственный безопасный способ — это проверить введенные пользователем данные.
Функция eval() в Python
Функция eval() в Python используется для синтаксического анализа строки выражения, как выражения Python и последующего ее выполнения.
expression – обязательный строковый параметр, он анализируется и выполняется, как выражение Python.
globals – словарь, используемый для определения доступных для выполнения выражений. Стандартные встроенные методы доступны, если явно не ограничены с помощью элемента ‘__builtins__’: None.
locals – используется для указания локальных переменных и методов, доступных для функции eval().
Пример
Давайте сначала рассмотрим простой пример функции eval() в python.
eval() с пользовательским вводом
Приведенный выше пример функции eval() очень ограничен и не оправдывает ее возможности. Сила функции заключается в динамическом выполнении операторов. Мы можем выполнять произвольные объекты кода с помощью функции eval().
Давайте посмотрим на более сложный пример, где мы попросим пользователя ввести функции для выполнения.
На изображении ниже показан пример выполнения указанного выше скрипта Python.
Без функции eval мы не можем выполнять команды, введенные пользователем. В этом сила функции eval().
Риски безопасности
Вот почему, когда вы используете функцию eval() для выполнения кода ввода пользователя, вам необходимо убедиться, что введенные пользователем данные сначала проверяются, и если они в порядке, то выполняется только их. Вот тогда и пригодятся параметры globals и locals.
Глобальные и локальные переменные
Прежде чем мы решим, какие функции мы должны сделать доступными для eval(), нам нужно выяснить, какие все функции и переменные присутствуют в глобальной и локальной области. Мы можем найти эту информацию с помощью встроенных функций locals(), globals() и dir().
Давайте посмотрим на пример, где мы узнаем функции и переменные, доступные в глобальной и локальной области.
Это множество функций, к которым у eval() будет доступ. Большинство из них взяты из модуля __builtins__ и math.
Посмотрим, что произойдет, если мы укажем значение globals, как пустой словарь в функции eval.
Таким образом, для функции eval по-прежнему доступны встроенные методы. Если вы хотите ограничить доступ только к нескольким встроенным методам, вы можете указать его значение для глобальных переменных. Например, приведенный ниже код позволяет функции eval() выполнять только встроенную функцию min.
Давайте посмотрим на другой пример, где я предоставляю значение locals и отключаю доступ ко всем встроенным функциям для eval().
Давайте посмотрим на последний пример, в котором я разрешаю доступ только к некоторым методам из математического модуля. Мы также сопоставляем square_root с функцией sqrt для удобства чтения человеком.
Я ничего не указал для встроенных функций, поэтому они будут доступны для функции eval().
Ниже приведен еще один пример выполнения, показывающий, что встроенные функции доступны для выполнения.
Функция eval() в Python
Функция Python eval() преобразует и вычисляет переданные ей выражения.
Используйте этот метод только для тестирования. Функция eval() не очищает переданные ей выражения. Это может легко стать лазейкой на вашем сервере, если злоумышленники выполнят здесь код Python.
Функция eval() function анализирует выражения и запускает переданный ей код в качестве параметра в программе Python.
Пример 1: Передача выражения для добавления двух локальных переменных
В приведенном выше фрагменте кода мы передали выражение «a + b» функции eval(), чтобы добавить две локальные переменные: a, b.
Пример 2: функция Python eval() с пользовательским вводом
В приведенном выше примере мы приняли ввод от пользователя и присвоили его переменным. Кроме того, мы передали выражение для умножения этих двух входных значений.
С модулем Pandas
Функция Python eval также может работать с модулем Pandas. Функция pandas.eval() принимает выражение и выполняет то же самое в программе python.
Пример 1. Передача выражения с inplace = TRUE
В приведенном выше примере мы создали фрейм данных и передали выражение для выполнения в скрипте python.
Поскольку inplace установлено в TRUE, значения данных, полученные из выражения, будут сохранены в том же объекте dataframe ‘data’.
Пример 2: Выполнение выражения в скрипте Python с inplace = FALSE
В приведенном выше фрагменте кода мы передали inplace = FALSE функции eval(). Таким образом, результаты выражения будут сохранены в новом объекте фрейма данных «data1».
Встроенная функция Python eval ()
Дата публикации Oct 19, 2019
Давайте разберемся со встроенной функцией eval () в python.
Это будет короткая статья о функции eval в python, в которой я объясню вам функцию eval, ее синтаксис и несколько вопросов, которые часто задают в интервью, чтобы вы четко поняли ее и с легкостью ответили на эти вопросы. Чтобы получить полный код, нажмите на мойGitHub репозиторийснизу:
Тан-N-Прабх / Python
github.com
Давайте начнем:
1. Что такое eval () в python и каков его синтаксис?
Синтаксис
Синтаксис функции eval показан ниже:
Аргументы или параметры
Возвращаемое значение
Возвращаемое значение будет результатом вычисленного выражения. Часто тип возвращаемого значения будет целым числом.
2. Где в основном используется функция eval?
Функция Eval в основном используется в ситуациях или приложениях, которые должны оценивать математические выражения. Также, если пользователь хочет вычислить строку в коде, он может использовать функцию eval, потому что функция eval оценивает строковое выражение и в результате возвращает целое число.
3. В чем разница между input () и eval ()?
Теперь вы все знаете, что input () принимает пользовательский ввод, но когда пользователь вводит целое число в качестве входных данных, функция ввода возвращает строку, но в случае eval она будет оценивать возвращаемое значение из строки в целое число. Я знаю, что большинство из вас смущены, позвольте мне прояснить ваше замешательство, приведя пример:
Смотрите, как я уже сказал, я ввел целое число10+ 10где я ожидал результата20 (10 + 10)но метод ввода вернул строку с тем же введенным значением.
4. Можем ли мы выполнить математические операции, используя функцию eval, приведите пример?
Да, мы можем выполнять математические операции, используя функцию eval, как показано ниже:
Посмотрите, как я сказал, если вы передаете входные данные в виде строки, а функция eval вычисляет выражение и возвращает результат в виде целого числа.
Это все, что вам нужно знать, чтобы начать работу с функцией eval в python, теперь вы знаете все ответы на поставленные выше вопросы. Одни и те же вопросы могут задаваться не всегда, дело в том, чтобы лучше понять концепции, тогда вы сможете ответить на любые вопросы. Если вы хотите потратить некоторое время на чтение материала о функции eval, я рекомендую вам, ребята, прочитать документацию по функции eval, показанную ниже:
docs.python.org
Спасибо, ребята, это конец статьи, как я уже сказал, это небольшая статья. Если у вас, ребята, есть какие-то сомнения или если вы застряли с чем-то, пожалуйста, дайте мне знать в комментариях ниже, я обязательно отвечу на все ваши вопросы. Ладно время прощаться, прекрасного дня.
И снова про опасность eval()
Сколько было сломано копий при обсуждении вопроса «Возможно ли сделать eval безопасным?» — невозможно сосчитать. Всегда находится кто-то, кто утверждает, что нашёл способ оградиться от всех возможных последствий выполнения этой функции.
Когда мне понадобилось найти развёрнутый ответ на этот вопрос, я наткнулся на один пост. Меня приятно удивила глубина исследования, так что я решил, что это стоит перевести.
Коротко о проблеме
Какие есть решения?
Ну а теперь-то мы в безопасности?
Итак, давайте разберёмся, что же здесь происходит. Начнём с этого:
Далее в коде нам надо будет дважды искать класс, так что создадим функцию:
Чтобы вызвать функцию, надо как-то её назвать, но, так как мы будем выполнять этот код внутри eval ‘a, мы не можем ни объявить функцию (используя def ), ни использовать оператор присвоения, чтобы привязать нашу лямбду к какой-нибудь переменной.
Однако, есть и третий вариант: параметры по умолчанию. При объявлении лямбды, как и при объявлении любой обычной функции, мы можем задать параметры по умолчанию, так что если мы поместим весь код внутри ещё одной лямбды, и зададим ей нашу, как параметр по умолчанию, — мы добьёмся желаемого:
Итак, мы имеем функцию, которая умеет искать классы, и можем обращаться к ней по имени. Что дальше? Мы создадим объект класса code (внутренний класс, его экземпляром, например, является свойство func_code объекта функции):
Из всех инициализующих параметров нас интересует только «KABOOM». Это и есть последовательность байт-кодов, которую будет использовать наш объект, и, как вы уже могли догадаться, эта последовательность не является «хорошей». На самом деле любого байт-кода из неё хватило бы, так как всё это — бинарные операторы, которые будут вызваны при пустом стеке, что приведёт к segfault ‘у CPython. «KABOOM» просто выглядит забавнее, спасибо lvh за этот пример.
Ну и теперь, когда у нас есть функция, мы можем её выполнить. Конкретно эта функция попытается выполнить наш некорректно составленный байт-код и приведёт к краху интерпретатора.
Вот весь код ещё раз:
Заключение
Итак, надеюсь теперь ни у кого не осталось сомнений в том, что eval НЕ БЕЗОПАСЕН, даже если убрать доступ к глобальным и встроенным переменным.
Сейчас мы запускали eval в пустом окружении, исходя из того, что указанный в статье код — это весь код нашей программы.
В случае использования eval ‘а в реальном приложении злоумышленник может получить доступ ко всем классам, которые вы используете, так что его возможности не будут ограничены практически ничем.
Проблема всех подобных попыток сделать eval безопасным в том, что они все основаны на идее «чёрных списков», идее о том, что надо убрать доступ ко всем вещам, которые, как нам кажется, могут быть опасны при использовании в eval ‘е. С такой стратегией практически нет шансов на победу, ведь если окажется незапрещённым хоть что-то, система будет уязвима.
Когда я проводил исследование этой темы, я наткнулся на защищенный режим выполнения eval ‘а в Python, который является ещё одной попыткой побороть эту проблему:
Вкратце, он работает следующим образом: если __builtins__ внутри eval отличаются от «официальных» — eval переходит в защищенный режим, в котором закрыт доступ к некоторым опасным свойствам, таким как func_code у функций. Более подробное описание этого режима можно найти тут, но, как мы уже видели выше, он тоже не является «серебряной пулей».
И всё-таки, можно ли сделать eval безопасным? Сложно сказать. Как мне кажется, злоумышленнику не удастся навредить без доступа к объектам с двумя нижними подчёркиваниями, обрамляющими имя, так что возможно, если исключить из обработки все строки с двумя нижними подчёркиваниями, то мы будем в безопасности. Возможно.
В треде на Reddit я нашёл короткий сниппет, позволяющий нам в eval получить «оригинальные» __builtins__: