eval函数可执行字符串形式的Python表达式并返回结果,常用于动态计算数学表达式或转换数据类型,如将字符串"[1, 2, 3]"转为列表;其语法为eval(expression, globals=None, locals=None),支持限制命名空间以增强安全性;但因可执行任意代码,存在安全风险,尤其在处理不可信输入时可能引发恶意操作;建议使用ast.literal_eval等更安全的替代方案。
eval函数在Python中用于执行一个字符串形式的表达式,并返回表达式的计算结果。它可以把字符串当作Python代码来运行,适合动态计算简单表达式,但使用时需谨慎,避免执行不可信的输入。
基本语法
eval函数的语法如下:
eval(expression, globals=None, locals=None)expression:必须是字符串形式的合法Python表达式,比如算术运算、变量引用、函数调用等。
globals:可选参数,提供全局命名空间(字典形式),限制可访问的全局变量。
locals:可选参数,提供局部命名空间,通常与globals一起使用。
常见使用场景
eval适用于解析和计算字符串形式的数学表达式,或从配置、用户输入中动态获取值。
- 计算数学表达式:把"2 + 3 * 4"这样的字符串直接算出结果
- 转换数据类型表示:比如把字符串"[1, 2, 3]"转成真正的列表
- 动态调用变量或函数(需注意安全)
示例:
result = eval("3 * 4 + 5")pri
nt(result) # 输出 17data = eval("[1, 2, 3]")
print(type(data)) # 输出
x = 10
print(eval("x + 5")) # 输出 15
安全性问题与限制
eval会执行任意代码,如果传入恶意字符串,可能造成安全风险,比如删除文件、访问敏感数据。
例如下面这种危险操作:
# 危险!不要对不可信输入使用evaluser_input = "__import__('os').system('rm -rf /')" # 恶意代码
eval(user_input) # 可能执行系统命令
为降低风险,可以限制globals和locals参数,禁止访问内置函数或模块。
例如:
safe_dict = {"__builtins__": {}} # 清空内置函数try:
eval("print('hello')", safe_dict)
except NameError as e:
print("被阻止了:", e)
替代方案建议
大多数情况下,不推荐使用eval。可以考虑更安全的方式:
- 用ast.literal_eval处理字符串转数据结构(如str转list、dict)
- 用int()、float()转换数字字符串
- 用configparser、json模块读取配置
例如:
import asttext = "[1, 2, 3]"
data = ast.literal_eval(text) # 安全地将字符串转为列表
print(data)
基本上就这些。eval功能强大但危险,只应在完全控制输入来源时使用,其他情况优先选择更安全的替代方法。
![如何从 Go 的 map[string]](http://public-space.oss-cn-hongkong.aliyucs.com/gz/470.jpg)
