这听起来像是一个愚蠢的问题,但是我通过做一些安全项目来考虑它: 对我来说,无论出于何种原因执行脚本并使用库都对,因为您将在您的PC中执行这些库,因此您将安装这些库。
但是,例如,如果脚本要在某人的计算机中攻击(执行脚本)怎么办?该人可能未安装特定的库(例如python的pywhois并获得了whois信息)。因此该脚本将无法正常工作?还是在同一脚本中,您可以在不通知用户的情况下使用命令来安装库?
答案 0 :(得分:2)
在没有要求的其他计算机上运行的恶意脚本仍然可以执行,只需运行sure-pip然后将pip作为子进程,只要能够运行,它就能获得必要的库它只需要用户站点包中的它们,而不需要系统中的
。 Python可以延迟导入,因此第一步是测试,然后捕获导入错误,然后运行pip -r requirements.txt,然后再次导入,或者每次都运行pip。