我的任务是构建一个应用程序,最终用户可以使用自定义规则来评估返回的查询是否会产生警告或警告(基于自己的阈值)。
我为用户构建了一种模板逻辑模板。一个例子如下:
if (abs(<<21>>) >= abs(<<22>>)):
retVal = <<21>>
else:
retVal = <<22>>
<<21>>和<<22>>参数将替换为程序中先前找到的值。一旦所有这些替换发生,我有一个非常简单的if / else块(在这个例子中)看起来像存储在变量(execCd)中:
if (abs(22.0) >= abs(-162.0)):
retVal = 22.0
else:
retVal = -162.0
这将exec()正确。现在,我该如何保证这一点?我看过这篇文章:http://lybniz2.sourceforge.net/safeeval.html
我的代码最终看起来像这样:
safe_list = ['math','acos', 'asin', 'atan', 'atan2', 'ceil', 'cos', 'cosh', 'de grees', 'e', 'exp', 'fabs', 'floor', 'fmod', 'frexp', 'hypot', 'ldexp', 'log', 'log10', 'modf', 'pi', 'pow', 'radians', 'sin', 'sinh', 'sqrt', 'tan', 'tanh']
safe_dict = dict([ (k, locals().get(k, None)) for k in safe_list ])
safe_dict['abs'] = abs
exec(execCd,{"__builtins__":None},safe_dict)
然而,当我有第二个和第三个参数时,exec失败了 - NameError: name 'retVal' is not defined
最终用户拥有的一些自定义逻辑非常广泛,而且很多都是在相当规律的基础上进行的。我不想维护他们的自定义逻辑,最终用户希望能够快速测试各种警告/警报阈值逻辑。
如何从不安全(有意或无意)代码中保护此exec语句?
答案 0 :(得分:4)
使用eval或exec的唯一安全方法是不使用它们。
您不需要使用exec。不是构建要执行的字符串,而是将其解析为对象,并使用它来驱动代码执行。
最简单的是,您可以将函数存储在dict中,并使用字符串来选择要调用的函数。如果您正在使用python语法,python提供了解析自身的所有实用程序,您应该使用它们。
答案 1 :(得分:4)
您的exec语句未将retVal添加到本地环境,而是添加到safe_dict字典。所以你可以从那里取回它:
execCd = """
if (abs(22.0) >= abs(-162.0)):
retVal = 22.0
else:
retVal = -162.0
"""
safe_list = ['math','acos', 'asin', 'atan', 'atan2', 'ceil', 'cos', 'cosh', 'de grees', 'e', 'exp', 'fabs', 'floor', 'fmod', 'frexp', 'hypot', 'ldexp', 'log', 'log10', 'modf', 'pi', 'pow', 'radians', 'sin', 'sinh', 'sqrt', 'tan', 'tanh']
safe_dict = dict([ (k, locals().get(k, None)) for k in safe_list ])
safe_dict['abs'] = abs
exec(execCd,{"__builtins__":None},safe_dict)
retVal = safe_dict["retVal"]