Pourquoi l'utilisation de « eval() » dans la programmation orientée objet est-elle dangereuse ?-Tutoriel Python-php.cn

Pourquoi l'utilisation de « eval() » dans la programmation orientée objet est-elle dangereuse ?

Patricia Arquette

Libérer： 2024-12-30 11:22:10

original

308 Les gens l'ont consulté

Why is Using `eval()` in Object-Oriented Programming Dangerous?

Pourquoi exécuter du code arbitraire est dangereux

Dans le contexte de la programmation orientée objet, l'utilisation de la fonction eval est généralement déconseillée en raison des risques et inconvénients potentiels en matière de sécurité. Considérez la classe suivante :

class Song:
    attsToStore = ('Name', 'Artist', 'Album', 'Genre', 'Location')
    def __init__(self):
        for att in self.attsToStore:
            exec 'self.%s=None'%(att.lower()) in locals()
    def setDetail(self, key, val):
        if key in self.attsToStore:
            exec 'self.%s=val'%(key.lower()) in locals()

Copier après la connexion

Bien que ce code puisse sembler pratique pour définir et récupérer des attributs de manière dynamique, il introduit les risques suivants :

Insécurité : eval permet l'exécution de code arbitraire, le rendant vulnérable aux attaques malveillantes. Des entrées ou des données externes pourraient être exploitées pour exécuter des opérations non autorisées.
Difficulté de débogage : les erreurs causées par eval sont difficiles à retracer et à résoudre car elles peuvent provenir du code exécuté lui-même, et non de l'original. Script Python.
Performance Overhead : l'évaluation implique l'interprétation et l'exécution du code de manière dynamique, ce qui peut être inefficace par rapport à l'affectation ou à l'utilisation explicite d'attributs.

Approche alternative utilisant setattr

Pour résoudre le problème de l'affectation d'attributs dynamiques sans ces risques, vous pouvez utiliser la fonction setattr à la place :

class Song:
    attsToStore = ('Name', 'Artist', 'Album', 'Genre', 'Location')
    def __init__(self):
        for att in self.attsToStore:
            setattr(self, att.lower(), None)
    def setDetail(self, key, val):
        if key in self.attsToStore:
            setattr(self, key.lower(), val)

Copier après la connexion

En utilisant setattr, vous pouvez modifier dynamiquement les attributs de l'objet Song sans les problèmes potentiels de sécurité et de débogage associés à eval.

Bien qu'il existe de rares cas où l'utilisation d'eval ou exec peut être nécessaire, il est crucial d'adopter de telles pratiques en toute conscience pour prévenir les vulnérabilités et maintenir la qualité du code.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!