那些遇到过的问题

在受控条件下使用'exec'是否存在安全威胁?

Sun*_*rma 5 python security exec

这是一个示例类:

from datetime import datetime
class Article:
    published = datetime.now()
    for propname in "year month day hour minute second".split():
        exec "%s = property(lambda self: self.published.%s)"%(propname, propname)
    del propname
Run Code Online (Sandbox Code Playgroud)

如您所见,我正在使用exec优化多个property()对象的创建.我经常读到使用exec很糟糕,并且它是程序中的安全漏洞.在这种情况下,是吗?

Dav*_*son 6

在这种情况下,它并不是真正的安全威胁,因为当执行的字符串是用户具有任何类型的访问权限时,就会出现安全威胁.在这种情况下,它是一个拆分字符串文字.

然而,即使它不是安全风险,exec也几乎总是一个糟糕的选择.为什么不使用getattrsetattr不是?

from datetime import datetime
class Article:
    published = datetime.now()

    def __init__(self):
        for propname in "year month day hour minute second".split():
            setattr(self, propname, getattr(self.published, propname))
Run Code Online (Sandbox Code Playgroud)

一个缺陷是必须在__init__方法中完成,所以这取决于你是否有充分的理由不在那里包含它.

  • +1为此.几乎总有一种替代`eval()`和`exec()`. (3认同)

归档时间:

查看次数:

179 次

最近记录:

13 年,4 月 前
相关归档
Matrix中的矩阵转置 134
以Unix时间戳格式获取当前GMT时间的最简单方法是什么? 132
将列表或系列作为一行添加到pandas DataFrame中? 86
如果它们在Python中不为空,则连接多个字符串 58
Python是如何实现内置函数pow()的? 48
NumPy矩阵类的弃用状态 44
在iOS上接受带有CFStream套接字的不受信任的SSL服务器证书 5
应该在Cookie(PHP)中保存什么类型的信息 4
在odoo 8中成组的Implied_id和用户 3
如何在 Laravel 中生成安全的一次性下载链接? 1
难疑归档
如何在JavaScript中检查empty/undefined/null字符串? 2645
如何在Windows上安装pip? 2469
如何获得$(this)选择器的子节点? 2182
樱桃挑选Git意味着什么? 2117
使用Git从先前的提交中分支 1658
JavaScript检查变量是否存在(定义/初始化) 1642
如何比较两个不同分支的文件? 1430
传输安全性阻止了明文HTTP 1425
JavaScript中是否有"null coalescing"运算符? 1305
如何一次删除所有Git stashes? 1280