Python里eval与exec区别 动态代码执行eval和exec的安全风险

eval()用于计算表达式并返回结果，exec()用于执行语句块且不返回值。1.eval()处理单个表达式并返回值，如数学运算或字典解析；exec()执行多行代码或语句块，如赋值、函数定义等。2.eval()会返回表达式的结果，而exec()仅执行操作无返回值。3.两者均存在安全风险，若执行不可信输入可能导致系统破坏或数据泄露，应避免处理用户输入，或限制命名空间及使用ast.literal_eval()替代。4.eval()适用于计算表达式，exec()适合动态创建函数或执行脚本。

在 Python 中，eval() 和 exec() 都是用来动态执行字符串形式的代码，但它们适用的场景和功能有明显区别。简单来说，eval() 用于计算表达式并返回结果，而 exec() 用于执行语句块，不返回值。如果你只是想运行一段动态生成的代码，用 exec() 更合适；如果只是想求一个表达式的值，比如数学运算或变量替换，就用 eval()。

下面从几个角度讲清楚两者的差异和潜在风险。

1. 基本功能差异：表达式 vs 语句

• eval() 只能处理表达式（expression），也就是说它只能执行会返回一个值的代码。例如：

  result = eval("2 + 3 * 5")
  print(result)  # 输出 17

  登录后复制

• exec() 能处理完整的语句块（statements），包括赋值、函数定义、循环等。例如：

  立即学习“Python免费学习笔记（深入）”；

  code = """
  a = 10
  b = 20
  print(a + b)
  """
  exec(code)  # 输出 30

  登录后复制

所以如果你要运行多行代码或者修改变量状态，只能用 exec()。

2. 返回值的区别：有没有结果

• eval() 会返回表达式的结果。例如：

  value = eval("{'name': 'Tom', 'age': 25}")
  print(type(value))  # <class 'dict'>

  登录后复制

• exec() 不返回值（返回的是 None），它的作用是“做事情”，而不是“算结果”。比如你可以用它来定义函数：

  exec("def say_hello(): print('Hello!')")
  
  say_hello()  # 输出 Hello!

  登录后复制

3. 安全风险：不要轻易执行不可信输入

这两个函数最大的问题就是——它们可以执行任意代码。如果用户输入的内容被当作参数传给 eval() 或 exec()，那就可能带来严重的安全隐患。

常见风险举例：

• 删除文件、修改系统设置等破坏性操作：

  # 想象用户输入了这样的字符串
  user_input = "__import__('os').system('rm -rf /')"
  
  # 如果你用了 eval 或 exec 执行这个字符串……后果严重

  登录后复制

• 获取敏感信息、泄露数据：

  # 用户构造输入读取密码变量
  user_input = "password"

  登录后复制

如何降低风险？

• 尽量避免使用 eval() 和 exec() 处理用户输入。

• 如果一定要用，限制命名空间，禁用内置模块：

  safe_globals = {"__builtins__": None}  # 禁用所有内置函数
  exec("print('hello')", safe_globals)   # 会报错，无法执行

  登录后复制

• 使用更安全的替代方案，比如 ast.literal_eval() 来解析字符串中的字面量（如列表、字典）：

  import ast
  
  data = ast.literal_eval("{'name': 'Tom', 'age': 25}")
  print(data)  # 安全地转为 dict

  登录后复制

4. 什么时候该用哪个？常见使用场景

基本上就这些。eval() 和 exec() 都很强大，但也容易出问题。用的时候要清楚自己在干什么，尤其是面对外部输入时，千万不能掉以轻心。

以上就是Python里eval与exec区别 动态代码执行eval和exec的安全风险的详细内容，更多请关注php中文网其它相关文章！