`eval`을 사용하지 않고 문자열 사전을 Python 사전으로 안전하게 변환하려면 어떻게 해야 합니까?

Eval을 사용하지 않고 사전의 문자열 표현을 사전으로 변환

당면 작업에는 사전의 문자열 표현을 사전의 문자열 표현으로 변환하는 작업이 포함됩니다. 실제 Python 사전. eval은 간단한 옵션이지만 보안 취약성에 대한 우려가 있습니다. 이 기사에서는 내장된 ast.literal_eval 함수를 사용하는 대체 방법을 살펴봅니다.

ast.literal_eval 함수

ast.literal_eval은 다음과 같은 표현식을 평가하기 위해 설계된 함수입니다. 문자열, 숫자, 목록, 튜플, 사전, 부울 및 없음과 같은 리터럴 구조만 포함합니다. 잠재적인 보안 위험을 방지하기 위해 입력을 제한하므로 eval에 비해 더 안전한 접근 방식을 제공합니다.

사용법

ast.literal_eval을 활용하려면 ast 모듈을 가져오고 전달합니다. 인수로서의 사전의 문자열 표현. 예를 들어 다음 문자열을 고려해보세요.

s = "{'muffin' : 'lolz', 'foo' : 'kitty'}"

ast.literal_eval을 사용하여 이 문자열을 사전으로 변환하는 것은 다음과 같이 간단합니다.

>>> ast.literal_eval(s)
{'muffin': 'lolz', 'foo': 'kitty'}

보안 고려 사항

ast.literal_eval을 사용하면 eval에서 발생할 수 있는 주입 공격으로부터 효과적으로 보호할 수 있습니다. Eval을 사용하면 사용자 입력이 Python 코드로 동적으로 실행되어 악성 코드 삽입 위험이 높아집니다. 반면 ast.literal_eval은 입력을 리터럴 구조로만 제한하여 이러한 공격을 방지합니다.

예

차이점을 설명하려면 다음 두 표현식의 평가를 비교하세요. :

# Using eval, which can be risky
eval("shutil.rmtree('mongo')")

# Using ast.literal_eval, which is safer
ast.literal_eval("shutil.rmtree('mongo')")

시연된 것처럼 eval을 사용하는 안전하지 않은 접근 방식은 심각한 시스템 오류로 이어질 수 있지만, ast.literal_eval은 잘못된 문자열을 올바르게 식별하고 오류를 발생시킵니다.

결론

요약하면 ast.literal_eval은 사전의 문자열 표현을 변환하는 안전하고 효과적인 방법을 제공합니다. Python 사전으로. eval과 달리 리터럴 구조 평가를 허용하면서 악성 코드 삽입을 방지합니다. 따라서 사용자 입력이나 신뢰할 수 없는 소스의 데이터를 처리하는 데 이상적인 선택입니다.

위 내용은 `eval`을 사용하지 않고 문자열 사전을 Python 사전으로 안전하게 변환하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!