如何在纯Python中沙箱化Python?
发布于 2021-01-29 17:06:34
我正在使用纯Python开发网络游戏,并希望可以使用一些简单的脚本来提供更多动态游戏内容。特权用户可以实时添加游戏内容。
如果脚本语言可以是Python,那就太好了。但是,它无法访问游戏运行所在的环境,因为恶意用户可能造成严重破坏。是否可以在纯Python中运行沙盒Python?
更新 :实际上,由于对Python的真正支持会过分地过时,因此具有Pythonic语法的简单脚本语言将是完美的。
如果没有任何Pythonic脚本解释器,是否还有其他我可以使用的用纯Python编写的开源脚本解释器?要求是对变量,基本条件和函数调用(不是定义)的支持。
关注者
0
被浏览
52
1 个回答
-
这确实是不平凡的。
有两种方法可以对Python进行沙箱测试。一种是创建一个受限制的环境(即,很少有全局变量等),并
exec在此环境中创建您的代码。这就是Messa的建议。很好,但是有很多方法可以突破沙盒并制造麻烦。大约在一年前,在Python-
dev上有一个关于此的线程,人们可以做一些事情,从捕获异常到戳入内部状态,再到字节码操作。如果您需要完整的语言,这是一种方法。另一种方法是解析代码,然后使用
ast模块将不需要的构造(例如import语句,函数调用等)踢出,然后编译其余部分。如果您想将Python用作配置语言等,这就是方法。PyPy沙箱是另一种方法(因为使用GAE可能对您不起作用)。虽然我自己还没有使用过它,但在intertube上的消息是它是那里唯一的
真正的 沙盒Python。根据您对需求的描述(需求是对变量,基本条件和函数调用(不是定义)的支持),您 可能 需要评估方法2并从代码中剔除其他所有内容。这有点棘手,但可行。
