在raw_input上使用Python的输入是否有用?
发布于 2021-01-29 14:10:27
我目前正在教一年级的大学生python,而令我惊讶的input是,我的一些学生决定使用(似乎被奇怪的行为所迷惑)看似无害的功能,却在eval背后隐藏了一个电话。
所以我的问题是,为什么要input调用该函数eval,并且这样做会更安全raw_input呢?我知道Python
3中已对此进行了更改,但乍一看似乎是一个不寻常的设计决策。
关注者
0
被浏览
97
1 个回答
-
在raw_input上使用Python 2的输入是否有用?
没有。
input()评估用户提供的代码。它将Python的全部功能掌握在用户手中。使用生成器表达式/列表推导,__import__和if/else运算符,实际上,Python可以用一个表达式来完成任何工作。恶意用户可以使用input()删除文件(__import__('os').remove('precious_file')),修补程序的其余部分(setattr(__import__('__main__'), 'function', lambda:42))等等。普通用户不需要使用所有高级功能。如果不需要表达式,请使用
ast.literal_eval(raw_input())–该literal_eval函数是安全的。如果您是为高级用户编写的,请为他们提供一种更好的输入代码的方法。插件,用户模块等–具有完整的Python语法,而不仅仅是功能。
如果您完全确定自己知道自己在做什么,请说
eval(raw_input())。在eval尖叫“我很危险的!”
到训练有素的眼睛。但是,很有可能您永远都不需要这个。
input()是Python 3解决的旧设计错误之一。
