使用exec导入特定模块的利弊?

时间:2019-02-12 08:46:00

标签: python python-2.7 python-import python-exec

我想找出使用​​exec进行导入的缺点。其中一个文件用作特定功能的实际实现的接口,具体取决于所选择的项目(框架旨在用于多个项目)。

第一个用例是这样的:

exec ("from API.%s.specific_API_%s import *" % (project, project))

这样,除了变量project(插入到接口模块本身中)之外,我无需进行任何硬编码。

这是另一种方式:

if project == 'project_one':
    from API.project_one.specific_API_project_one import *
elif project == 'project_two':
    from API.project_two.specific_API_project_two import *
elif project == 'project_three':
    from API.project_three.specific_API_project_three import *

这样,每次添加新项目以支持它时,我都必须更改此接口文件。

1 个答案:

答案 0 :(得分:2)

  1. 如果您需要编程方式来导入模块,请使用importlib__import__(针对特定情况)。原因-不要重新发明轮子,没有exec,您可以做自己想做的事情。如果您的project变量来自外部世界,则exec是一个巨大的安全问题。
  2. 通配符导入被认为是不好的做法-之后使维护代码库变得更加困难。

通过执行任意代码,exec出现的问题的过于简化的示例:

module = 'request'
func = 'urlopen'
exec("from urllib.%s import %s" % (module, func))

func = 'urlopen; print("hello python")'
exec("from urllib.%s import %s" % (module, func))

是的,您的示例更难伪造,但问题依然存在-当您完全根据目的构建工具时,以编程方式导入模块,给python任意代码执行是过大的(有潜在的安全漏洞)。