当前位置：首页 > news >正文

【Python】 ast.literal_eval 与 eval

news 2025/9/16 9:41:30

一、背景

我在在编写管理后台的过程中，遇到一个小问题，是关于用户名的存储和解码。用户名以base64编码的形式存储在 MySQL 数据库中，并且还保留了b''这样的形式，具体为什么要这样存我也不知道,可能是因为有些特殊字符无法直接存储。当从数据库中查询出数据后，为了正确使用这些用户名，需要进行解码操作。然而，base64.b64decode()方法接收的是bytes类型的数据。

也就是说，我们面临着将一个形如"b'huisqhfqe21aGVsbG8='"的字符串转换成b'huisqhfqe21aGVsbG8='这样的bytes类型数据的任务。在思考解决方案的过程中，eval方法首先浮现在脑海中，但考虑到安全性问题，经过查阅资料后，最终决定选择使用ast.literal_eval。虽然这里其实没什么风险，但是我就是想用 QAQ

二、base64 简介

Base64 是一种用于将二进制数据编码成 ASCII 字符的编码方式。它通常用于在网络传输或存储数据时，将二进制数据转换为可打印的字符，以便于传输和存储。在 Python 中，可以使用base64模块来进行 Base64 编码和解码操作。

import base64
def base64_to_string(base64_data):decoded_data = base64.b64decode(base64_data)string_data = decoded_data.decode('utf-8')return string_datadef string_to_base64(string_data):encoded_data = str.encode(string_data, 'utf-8')base64_data = base64.b64encode(encoded_data)return base64_data

三、eval

功能与用法
- eval函数是 Python 中一个强大的工具，它可以将一个字符串表达式作为 Python 代码进行执行。例如：
```
expression = "2 + 3"
result = eval(expression)
print(result)  # 5
```
- 它可以处理各种复杂的表达式，包括数学运算、函数调用等。例如：
```
eval("pow(2, 3)")  # 8
```
安全风险
- 然而，eval的强大功能也伴随着巨大的安全风险。如果输入的字符串来自不可信的来源，比如用户输入、网络传输的数据等，那么这个字符串可能会被恶意构造来执行恶意代码。
- 例如，假设一个恶意用户输入了以下字符串：
```
malicious_str = "os.system('rm -rf /')"
eval(malicious_str)
```
  执行这段代码将导致严重的系统破坏，可能会删除整个文件系统。
- 此外，eval还可能导致代码注入攻击，使得攻击者能够执行任意的 Python 代码，获取敏感信息或者控制系统。
性能开销
- eval函数在执行时需要解析和执行字符串中的代码，这会带来一定的性能开销。特别是在处理大量数据或者频繁调用的情况下，这种性能开销可能会变得比较明显。

四、ast.literal_eval

功能与用法
- ast.literal_eval是一个相对安全的评估函数，它仅接受字符串形式的 Python 字面量表达式，并将其转换为相应的 Python 对象。
- 在上述场景中，可以使用ast.literal_eval来将特定的字符串转换为bytes类型的对象。例如：
```
import ast
literal_str = "b'huisqhfqe21aGVsbG8='"
result = ast.literal_eval(literal_str)
print(result)
```
安全性保障
- ast.literal_eval具有严格的语法要求，只接受有限的字面量表达式，如数字、字符串、列表、元组、字典等。这意味着它不会执行任意的代码，从而大大降低了安全风险。
- 如果输入的字符串不符合 Python 字面量的语法规则，它将抛出一个ValueError异常，而不是执行潜在的恶意代码。
性能特点
- 虽然ast.literal_eval在安全性方面有很大的优势，但在性能上可能略逊于eval。不过，这种性能差异通常在大多数应用场景下并不显著，而且为了保证程序的安全性，这点性能损失是可以接受的。

五、实际应用场景对比

在数据处理管道中，如果需要对从外部数据源获取的字符串进行转换，使用ast.literal_eval可以确保数据的安全性。例如，从一个不可信的 API 接口获取的数据，需要转换为 Python 对象进行进一步处理时，ast.literal_eval是更好的选择。
而在一些内部开发的工具或者脚本中，如果输入的字符串是由开发者自己控制的，并且已经经过了严格的验证，那么使用eval可能会更加方便快捷。但即使在这种情况下，也应该谨慎使用，并充分考虑潜在的安全风险。
在涉及到用户交互的应用程序中，绝对不能使用eval来处理用户输入的字符串。因为用户可能会输入恶意代码，从而导致严重的安全问题。而ast.literal_eval则可以在一定程度上保证用户输入的安全性，只要用户输入的字符串符合字面量语法规则。

六、使用建议

优先选择 ast.literal_eval
- 在实际编程中，如果需要将一个已知安全的、符合字面量语法规则的字符串转换为 Python 对象，应优先使用ast.literal_eval。ast.literal_eval是一个安全可靠的选择。它可以有效地避免恶意代码的注入，保护程序的安全性。
谨慎使用 eval
- 除非完全信任输入的字符串并且明确知道执行的代码是安全的，否则应避免使用eval。在大多数情况下，都有更安全的替代方法来实现所需的功能。
- 如果确实需要使用eval，应该对输入的字符串进行严格的验证和过滤，以确保不会执行恶意代码。例如，可以使用正则表达式来检查字符串是否只包含合法的表达式。

【Python】 ast.literal_eval 与 eval

一、背景

二、base64 简介

三、eval

四、ast.literal_eval

五、实际应用场景对比

六、使用建议

相关文章：

【Python】 ast.literal_eval 与 eval

Java 入门指南：JVM（Java虚拟机）垃圾回收机制 —— 新一代垃圾回收器 ZGC 收集器

基于 K8S kubernetes 的常见日志收集方案

Unity3D 小案例像素贪吃蛇 02 蛇的觅食

【sgCreateCallAPIFunction】自定义小工具：敏捷开发→调用接口方法代码生成工具

京东商品详情的 API 探秘与应用

功能测试干了三年，快要废了。。。

【C++】多态的认识和理解

linux-安全管理-用户认证

webpack5 构建优化方案看这篇就够了！【Node.js进阶】

esp32-C2 对接火山引擎实现智能语音（一）

【MySQL-初级】mysql基础操作（账户、数据库、表的增删查改）

centos bash脚本一键运行安装go环境

vue2制作高复用页面

Feed流系统重构：架构篇

Android 后台服务之Persistent 属性

STM32+ESP01连接到机智云

电脑实时监控软件有哪些?七个电脑屏幕监控软件任你选择

信奥学习规划（CSP-J/S)

【Linux取经之路】编译器gcc/g++的使用调试器gdb的使用

第19节 Node.js Express 框架

SkyWalking 10.2.0 SWCK 配置过程

VB.net复制Ntag213卡写入UID

微软PowerBI考试 PL300-选择 Power BI 模型框架【附练习数据】

关于iview组件中使用 table , 绑定序号分页后序号从1开始的解决方案

Cilium动手实验室: 精通之旅---20.Isovalent Enterprise for Cilium: Zero Trust Visibility

Java入门学习详细版（一）

汇编常见指令

Java多线程实现之Thread类深度解析

Redis的发布订阅模式与专业的 MQ（如 Kafka, RabbitMQ）相比，优缺点是什么？适用于哪些场景？