如何使用Python发现不安全的eval()使用?

来源:站长查询作者:沙月恵奈‌头衔:网络博主
导读:本期聚焦于小伙伴创作的《如何使用Python发现不安全的eval()使用?》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《如何使用Python发现不安全的eval()使用?》有用,将其分享出去将是对创作者最好的鼓励。

在Python开发过程中,eval()函数常用于执行动态生成的字符串表达式,但它的灵活性也带来了安全风险。如果eval()接收了不可信的输入内容,攻击者可能通过构造恶意字符串执行任意代码,因此识别代码中不安全的eval()使用是安全开发的重要环节。

如何使用Python发现不安全的eval()使用?

不安全eval()使用的常见场景

首先需要明确什么样的使用属于不安全范畴,常见的风险场景包括以下几类:

  • 直接将外部输入(如用户输入、接口请求参数、文件读取内容)作为eval()的参数,没有做任何过滤和限制
  • eval()执行时没有指定globals和locals参数,或者传入了包含内置函数、系统模块的全局命名空间
  • 在循环或者高频调用的逻辑中使用eval()处理动态内容,且没有做输入合法性校验

基于AST的静态检测方法

Python的ast模块可以将源代码解析为抽象语法树,我们可以通过遍历语法树定位所有的eval()调用,再分析其参数来源判断是否存在风险。以下是一个简单的静态检测示例:

import ast
import sys

def check_unsafe_eval(file_path):
    with open(file_path, 'r', encoding='utf-8') as f:
        code = f.read()
    # 解析代码为AST语法树
    tree = ast.parse(code)
    unsafe_evals = []
    # 遍历语法树的所有节点
    for node in ast.walk(tree):
        # 检测函数调用节点
        if isinstance(node, ast.Call):
            # 判断调用的是否是eval函数
            if isinstance(node.func, ast.Name) and node.func.id == 'eval':
                # 检查是否没有传入globals/ locals参数,或者参数来源不可信
                if len(node.args) > 0:
                    arg = node.args[0]
                    # 简单判断参数是否为外部输入相关变量,实际场景可扩展更多规则
                    if isinstance(arg, ast.Name) and arg.id in ['user_input', 'request_data', 'file_content']:
                        unsafe_evals.append({
                            'line': node.lineno,
                            'arg': arg.id
                        })
    return unsafe_evals

if __name__ == '__main__':
    target_file = sys.argv[1] if len(sys.argv) > 1 else 'test.py'
    results = check_unsafe_eval(target_file)
    if results:
        print(f"发现{len(results)}处不安全的eval()使用:")
        for item in results:
            print(f"行号:{item['line']},风险参数:{item['arg']}")
    else:
        print("未发现不安全的eval()使用")

动态运行时的检测思路

除了静态分析,我们还可以在代码运行时对eval()的调用进行拦截和校验。可以通过重写内置的eval函数,或者包装eval调用的方式实现:

import builtins

# 保存原始的eval函数
original_eval = builtins.eval

def safe_eval_check(expr, globals=None, locals=None):
    # 定义允许的内置函数白名单
    allowed_builtins = {'len': len, 'range': range, 'int': int, 'str': str}
    # 如果传入的globals包含非白名单内容,直接拒绝
    if globals:
        for key in globals:
            if key not in allowed_builtins and key != '__builtins__':
                raise ValueError(f"不允许的全局变量:{key}")
    # 检查表达式是否包含危险内容,比如import、os、system等关键词
    danger_keywords = ['import', 'os', 'sys', 'subprocess', 'open', 'exec']
    for kw in danger_keywords:
        if kw in expr:
            raise ValueError(f"表达式包含危险关键词:{kw}")
    # 执行原始eval,限制全局命名空间
    return original_eval(expr, {'__builtins__': allowed_builtins}, locals)

# 替换内置的eval函数
builtins.eval = safe_eval_check

# 测试示例
try:
    # 正常调用
    print(eval("1 + 2"))
    # 危险调用会被拦截
    print(eval("import os; os.system('ls')"))
except ValueError as e:
    print(f"检测到不安全eval调用:{e}")

结合工具自动化检测

在实际项目中,手动检测所有eval()调用效率较低,可以结合成熟的代码安全工具提升检测效率。常见的有Bandit、PyLint的安全插件,这些工具已经内置了eval()使用的风险规则,可以直接扫描整个项目目录输出风险报告。例如使用Bandit扫描时,会直接标记出未限制命名空间的eval()调用,同时给出风险等级和修复建议。

修复不安全eval()的建议

如果检测到不安全的eval()使用,优先建议替换为更安全的方案,比如使用ast.literal_eval()处理字面量表达式,或者自定义安全的表达式解析逻辑。如果必须使用eval(),一定要严格限制globals和locals参数,禁止传入包含系统模块、内置危险函数的命名空间,同时对输入内容做严格的格式校验,避免不可信数据进入eval()执行流程。

Pythoneval_函数代码安全静态分析AST抽象语法树修改时间:2026-07-03 02:24:10

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。