在Python开发过程中,eval()函数常用于执行动态生成的字符串表达式,但它的灵活性也带来了安全风险。如果eval()接收了不可信的输入内容,攻击者可能通过构造恶意字符串执行任意代码,因此识别代码中不安全的eval()使用是安全开发的重要环节。

不安全eval()使用的常见场景
首先需要明确什么样的使用属于不安全范畴,常见的风险场景包括以下几类:
- 直接将外部输入(如用户输入、接口请求参数、文件读取内容)作为eval()的参数,没有做任何过滤和限制
- eval()执行时没有指定globals和locals参数,或者传入了包含内置函数、系统模块的全局命名空间
- 在循环或者高频调用的逻辑中使用eval()处理动态内容,且没有做输入合法性校验
基于AST的静态检测方法
Python的ast模块可以将源代码解析为抽象语法树,我们可以通过遍历语法树定位所有的eval()调用,再分析其参数来源判断是否存在风险。以下是一个简单的静态检测示例:
import ast
import sys
def check_unsafe_eval(file_path):
with open(file_path, 'r', encoding='utf-8') as f:
code = f.read()
# 解析代码为AST语法树
tree = ast.parse(code)
unsafe_evals = []
# 遍历语法树的所有节点
for node in ast.walk(tree):
# 检测函数调用节点
if isinstance(node, ast.Call):
# 判断调用的是否是eval函数
if isinstance(node.func, ast.Name) and node.func.id == 'eval':
# 检查是否没有传入globals/ locals参数,或者参数来源不可信
if len(node.args) > 0:
arg = node.args[0]
# 简单判断参数是否为外部输入相关变量,实际场景可扩展更多规则
if isinstance(arg, ast.Name) and arg.id in ['user_input', 'request_data', 'file_content']:
unsafe_evals.append({
'line': node.lineno,
'arg': arg.id
})
return unsafe_evals
if __name__ == '__main__':
target_file = sys.argv[1] if len(sys.argv) > 1 else 'test.py'
results = check_unsafe_eval(target_file)
if results:
print(f"发现{len(results)}处不安全的eval()使用:")
for item in results:
print(f"行号:{item['line']},风险参数:{item['arg']}")
else:
print("未发现不安全的eval()使用")
动态运行时的检测思路
除了静态分析,我们还可以在代码运行时对eval()的调用进行拦截和校验。可以通过重写内置的eval函数,或者包装eval调用的方式实现:
import builtins
# 保存原始的eval函数
original_eval = builtins.eval
def safe_eval_check(expr, globals=None, locals=None):
# 定义允许的内置函数白名单
allowed_builtins = {'len': len, 'range': range, 'int': int, 'str': str}
# 如果传入的globals包含非白名单内容,直接拒绝
if globals:
for key in globals:
if key not in allowed_builtins and key != '__builtins__':
raise ValueError(f"不允许的全局变量:{key}")
# 检查表达式是否包含危险内容,比如import、os、system等关键词
danger_keywords = ['import', 'os', 'sys', 'subprocess', 'open', 'exec']
for kw in danger_keywords:
if kw in expr:
raise ValueError(f"表达式包含危险关键词:{kw}")
# 执行原始eval,限制全局命名空间
return original_eval(expr, {'__builtins__': allowed_builtins}, locals)
# 替换内置的eval函数
builtins.eval = safe_eval_check
# 测试示例
try:
# 正常调用
print(eval("1 + 2"))
# 危险调用会被拦截
print(eval("import os; os.system('ls')"))
except ValueError as e:
print(f"检测到不安全eval调用:{e}")
结合工具自动化检测
在实际项目中,手动检测所有eval()调用效率较低,可以结合成熟的代码安全工具提升检测效率。常见的有Bandit、PyLint的安全插件,这些工具已经内置了eval()使用的风险规则,可以直接扫描整个项目目录输出风险报告。例如使用Bandit扫描时,会直接标记出未限制命名空间的eval()调用,同时给出风险等级和修复建议。
修复不安全eval()的建议
如果检测到不安全的eval()使用,优先建议替换为更安全的方案,比如使用ast.literal_eval()处理字面量表达式,或者自定义安全的表达式解析逻辑。如果必须使用eval(),一定要严格限制globals和locals参数,禁止传入包含系统模块、内置危险函数的命名空间,同时对输入内容做严格的格式校验,避免不可信数据进入eval()执行流程。