Wie kann ich ein String-Wörterbuch sicher in ein Python-Wörterbuch konvertieren, ohne „eval' zu verwenden?

Konvertieren Sie eine Zeichenfolgendarstellung eines Wörterbuchs in ein Wörterbuch, ohne Eval zu verwenden.

Die vorliegende Aufgabe besteht darin, eine Zeichenfolgendarstellung eines Wörterbuchs in zu konvertieren ein echtes Python-Wörterbuch. Obwohl die Evaluierung eine unkomplizierte Option ist, bestehen Bedenken hinsichtlich ihrer Sicherheitslücken. In diesem Artikel wird eine alternative Methode unter Verwendung der integrierten Funktion ast.literal_eval untersucht.

Die Funktion ast.literal_eval

ast.literal_eval ist eine Funktion zur Auswertung von Ausdrücken, die enthalten nur Literalstrukturen wie Zeichenfolgen, Zahlen, Listen, Tupel, Diktate, Boolesche Werte und Keine. Es bietet im Vergleich zu eval einen sichereren Ansatz, da es die Eingabe einschränkt, um potenzielle Sicherheitsrisiken zu verhindern.

Verwendung

Um ast.literal_eval zu verwenden, importieren Sie das ast-Modul und übergeben Sie es die String-Darstellung des Wörterbuchs als Argument. Betrachten Sie beispielsweise die folgende Zeichenfolge:

s = "{'muffin' : 'lolz', 'foo' : 'kitty'}"

Die Konvertierung dieser Zeichenfolge in ein Wörterbuch mithilfe von ast.literal_eval ist so einfach wie:

>>> ast.literal_eval(s)
{'muffin': 'lolz', 'foo': 'kitty'}

Sicherheitsüberlegungen

Die Verwendung von ast.literal_eval schützt effektiv vor Injektionsangriffen, die bei eval auftreten können. Eval ermöglicht die dynamische Ausführung der Benutzereingaben als Python-Code, was das Risiko der Einschleusung von Schadcode erhöht. Im Gegensatz dazu beschränkt ast.literal_eval die Eingabe nur auf wörtliche Strukturen und verhindert so solche Angriffe.

Beispiel

Um den Unterschied zu veranschaulichen, vergleichen Sie die Auswertungen der folgenden beiden Ausdrücke :

# Using eval, which can be risky
eval("shutil.rmtree('mongo')")

# Using ast.literal_eval, which is safer
ast.literal_eval("shutil.rmtree('mongo')")

Wie gezeigt, könnte der unsichere Ansatz mit eval zu einem kritischen Systemfehler führen ast.literal_eval identifiziert die fehlerhafte Zeichenfolge korrekt und gibt einen Fehler aus.

Fazit

Zusammenfassend bietet ast.literal_eval eine sichere und effektive Methode zum Konvertieren von Zeichenfolgendarstellungen von Wörterbüchern in Python-Wörterbücher. Im Gegensatz zu eval schützt es vor dem Einschleusen von bösartigem Code und ermöglicht gleichzeitig die Auswertung literaler Strukturen. Dies macht es zur idealen Wahl für die Verarbeitung von Benutzereingaben oder Daten aus nicht vertrauenswürdigen Quellen.

Das obige ist der detaillierte Inhalt vonWie kann ich ein String-Wörterbuch sicher in ein Python-Wörterbuch konvertieren, ohne „eval' zu verwenden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!