我使用下面的类来轻松地存储我的歌曲数据。
class Song:
"""The class to store the details of each song"""
attsToStore=('Name', 'Artist', 'Album', 'Genre', 'Location')
def __init__(self):
for att in self.attsToStore:
exec 'self.%s=None'%(att.lower()) in locals()
def setDetail(self, key, val):
if key in self.attsToStore:
exec 'self.%s=val'%(key.lower()) in locals()
我觉得这比写一个 if/else 块更具可扩展性。然而,我听说 eval 是不安全的。是吗?有什么风险?如何解决我的类中的根本问题(动态设置 self 的属性)而不会引发风险?
是的,使用eval是一种不好的做法。以下只是其中的一些原因:
在您的情况下,您可以使用setattr代替:
class Song:
"""The class to store the details of each song"""
attsToStore=('Name', 'Artist', 'Album', 'Genre', 'Location')
def __init__(self):
for att in self.attsToStore:
setattr(self, att.lower(), None)
def setDetail(self, key, val):
if key in self.attsToStore:
setattr(self, key.lower(), val)
有时候你必须使用 eval 或 exec,但这种情况很少见。在你的情况下使用 eval 是一个不好的做法。我之所以强调不好的做法,是因为 eval 和 exec 经常被用在错误的地方。
回复评论:
看起来有些人不同意在 OP 情况下 eval 是“非常危险和不安全”的说法。这对于此特定情况可能是正确的,但并不一定适用于所有情况。问题是普遍性的,我列出的原因也适用于一般情况。
eval 没有直接关联。一个从根本上设计不良的应用程序是无论如何都会存在问题的。eval 不比除以零或尝试导入已知不存在的模块更加能引起糟糕设计的根源。eval 并不是不安全的,应用程序才有可能存在安全隐患。 - S.Lottcalc的程序,为了添加数字,它执行print(eval("{} + {}".format(n1, n2)))并退出。然后你使用某个操作系统分发了这个程序。然后有人制作了一个bash脚本,从股票网站获取一些数字并使用calc加起来。爆炸? - L̲̳o̲̳̳n̲̳̳g̲̳̳p̲̳o̲̳̳k̲̳̳e̲̳̳使用eval是一种薄弱的做法,但不是明显的坏习惯。
它违反了“软件基本原则”。你的源代码不是全部可执行的内容。除了源代码外,还有必须清楚理解的eval参数。因此,它应该作为最后的手段来使用。
这通常是一个不经思考的设计信号。动态构建源代码几乎没有很好的理由。几乎可以使用委托和其他OO设计技术来完成任何事情。
它会导致相对较慢的小代码片段的即时编译。这是可以通过使用更好的设计模式来避免的开销。
作为脚注,在精神错乱的社会人士手中,它可能无法发挥良好的作用。然而,当面对精神错乱的用户或管理员时,最好从一开始就不要给他们解释Python。在邪恶的人手中,Python可能成为一种负担;eval并不会增加任何风险。
eval 是一种“安全漏洞”。仿佛 Python 本身不只是任何人都可以修改的一堆解释源码一样。当遇到“eval 是安全隐患”的情况时,你只能假设它只是在心理变态者手中成为了安全隐患。普通程序员仅仅修改现有的 Python 源代码并直接导致他们的问题,而不是通过 eval 魔法间接地导致问题。 - S.Lotteval()传递它,因为它是一个字符串。来自“外部世界”的代码无法进行净化。来自外部世界的字符串只是字符串。我不清楚你在说什么。也许您应该提供一个更完整的博客文章并在此处链接到它。 - S.Lott是的,这是可能的:
使用Python进行黑客攻击:
>>> eval(input())
"__import__('os').listdir('.')"
...........
........... #dir listing
...........
以下代码将列出在Windows计算机上运行的所有任务。
>>> eval(input())
"__import__('subprocess').Popen(['tasklist'],stdout=__import__('subprocess').PIPE).communicate()[0]"
在 Linux 中:
>>> eval(input())
"__import__('subprocess').Popen(['ps', 'aux'],stdout=__import__('subprocess').PIPE).communicate()[0]"
eval吗? - mkrieger1eval; 我将为使用eval的合法用例提供一个例子,即在CPython中甚至都可以找到的一个用例:测试。test_unary.py 中发现的一个示例,其中测试是否会引发TypeError:(+|-|~)b'a'。def test_bad_types(self):
for op in '+', '-', '~':
self.assertRaises(TypeError, eval, op + "b'a'")
self.assertRaises(TypeError, eval, op + "'a'")
eval有几种替代方案:setattr:def __init__(self):
for name in attsToStore:
setattr(self, name, None)
一种不太明显的方法是直接更新对象的__dict__对象。如果您只想将属性初始化为None,则这比上面的方法更不直观。但请考虑以下内容:
def __init__(self, **kwargs):
for name in self.attsToStore:
self.__dict__[name] = kwargs.get(name, None)
s = Song(name='History', artist='The Verve')
它还允许您更明确地使用locals(),例如:
s = Song(**locals())
如果您真的想将None赋值给在locals()中找到名称的属性:
s = Song(**dict([(k, None) for k in locals().keys()]))
为对象提供一组属性的默认值的另一种方法是定义类的__getattr__方法:
def __getattr__(self, name):
if name in self.attsToStore:
return None
raise NameError, name
当以正常方式未找到命名属性时,将调用此方法。这种方法比在构造函数中简单设置属性或更新__dict__略微复杂,但它的优点是只有在存在属性时才创建属性,这可以大大减少类的内存使用。
所有这些的要点是:一般情况下,避免使用eval有很多原因-执行不受您控制的代码的安全问题,无法调试的代码的实际问题等等。但更重要的原因是通常情况下,您不需要使用它。 Python向程序员公开了许多内部机制,因此您很少需要编写编写代码的代码。
__dict__,而是通过继承或作为属性赋予对象一个实际的字典对象。 - Josh Lee__setattr__ 覆盖,这可能会导致意外结果。setattr() 没有这个问题。” - bruno desthuillierseval会如何影响时间,我尝试了一个小程序,以下是观察结果:#Difference while using print() with eval() and w/o eval() to print an int = 0.528969s per 100000 evals()
from datetime import datetime
def strOfNos():
s = []
for x in range(100000):
s.append(str(x))
return s
strOfNos()
print(datetime.now())
for x in strOfNos():
print(x) #print(eval(x))
print(datetime.now())
#when using eval(int)
#2018-10-29 12:36:08.206022
#2018-10-29 12:36:10.407911
#diff = 2.201889 s
#when using int only
#2018-10-29 12:37:50.022753
#2018-10-29 12:37:51.090045
#diff = 1.67292
exec/eval的,却不知道setattr呢? - u0b34a0f6ae