源码
def eval(
__source: str | bytes | CodeType, __globals: dict[str, Any] | None = ..., __locals: Mapping[str, Any] | None = ...
) -> Any: ...可以看成:
eval(soures, globals=None, locals=None)
- 源可以是表示Python表达式的字符串或编译器()返回的代码对象
- 全局:全局必须是字典
- 局部变量:局部可以是任何映射
默认为当前全局变量和本地变量。如果只给出全局变量,则本地变量默认为它。
正题
eval简单的说,可以将你当前的格式转换为想要的对应的格式。但不是万能的。
接口自动化中,看到了很多人都有遇到一个问题,看似像字典的一个数据实际上是字符串亦或者其他数据结构。这时候直接使用eval()可以边界的帮助你转换为字典结构。
简单例子
set_ = {'name':"清安"}
print(type(str(set_)))
print(type(eval(str(set_))))
"""
<class 'str'>
<class 'dict'>
"""一般性不会这样这样转,只是举例!可以将已经转成字符串的数据再度转会字典。
其他简单示例
print(eval('2*5'))
print(eval('"清安"[0]'))
a = 1
print(eval('a==1'))
number = input("请输入数学表达式:\n")
print(eval(number))
"""
10
清
True
请输入数学表达式:
2+3*3
11
"""复杂的小例子
def add(a, b):
print(a + b)
op = input('请输入"add": ')
if (op in 'add'):
a = input('请输入第一个数字:')
b = input('请输入第二个数字:')
fun = op + '(' + a + ',' + b + ')'
eval(fun)
else:
print('请输入有效的字符串')
"""
请输入"add": add
请输入第一个数字:1
请输入第二个数字:2
3
"""此处还是比较易懂的吧,也是借助了eval函数转化了。在使用eval之前先写了一个add函数方法用于做加法运算。
globals参数
全局名称空间
print(globals()){'__name__': '__main__', '__doc__': 无, '__package__': 无,
'__loader__': <类 '_frozen_importlib.BuiltinImporter'>,
'__spec__': None, '__annotations__': {}, '__builtins__': <module 'builtins' (built-in)>,
'__file__': '文件所在路径', '__cached__': None}上述需要自己运行就能看懂了。__builtins__内置的名称空间。
locals参数
如果像globals一样直接print,那么结果是一样的,因为直接print就已经类似于全局了,虽然是局部函数,但是作用在了全局。这里就不演示了。演示一个更能体现它的例子
def func():
a = 1
print(locals())
func()
"""
{'a': 1}
"""这样就只能看到a变量了。这就是locals的作用。
理解eval的两个参数
看了上述参数理解,那么 就来看看正题的
QA = 0
res = eval('10+2+QA')
print(res)这样是可以运行的,结果为:12,那么将全局以及局部写入,看看:
glo = {}
loc = {}
QA = 0
res = eval('10+2+QA',glo,loc)
print(res)
"""
NameError: name 'QA' is not defined
"""这里告诉你,未定义名称QA。那么我们写入glo中看看:
QA = 0
glo = {'QA':QA}
loc = {}
res = eval('10+2+QA',glo,loc)
print(res)注意,这里QA变量移动到了最上面!将QA写入到glo字典中,这样就不会报错了。结果为:12,如果要问为什么是字典,请看上面源码解释。
为什么不看loc局部?因为有局部默认为None,如果局部有值,优先找局部。
QA = 0
glo = {'QA':QA}
loc = {'QA':1}
res = eval('10+2+QA',glo,loc)
print(res)
"""
13
"""小结
globals()和 locals()分别给出所有全局和局部对象的字典。
eval()函数无法直接使用某些函数,称之为限制,可以在局部/全局参数中先引入就可以使用:
import math
eval('print("PythonGeeks")',{})
eval('print(abs(-4))',{'__builtins__':{'abs': abs,'print':print}})
print(eval('sqrt(4)', {}, {'sqrt': math.sqrt}))如果是为了限制外部入侵,建议直接{‘builtins’: None}
补充22-11-14
系统攻击
res = eval(input("请输入>>>"))
print(res, type(res))
"""
请输入>>>12
12 <class 'int'>
"""可以直接拿到关键信息,这里是不是看着没啥,那么在控制台输入呢:
(venv) E:\selenium_test\def_test>python toml_read.py
请输入>>>__import__("os").system("dir")
驱动器 E 中的卷是 Job
卷的序列号是 4653-5263
E:\selenium_test\def_test 的目录
2022/11/14 19:56 <DIR> .
2022/11/14 19:56 <DIR> ..
2022/10/15 13:09 555 csv_read.py
2022/11/03 23:32 18 log.txt
2022/11/14 19:56 1,803 toml_read.py
2022/11/07 22:39 996 Yaml_read.py
2022/11/14 16:08 <DIR> __pycache__
2022/09/17 10:56 95 作用域.py
2022/10/13 21:44 2,348 闭包.py
14 个文件 6,623 字节
3 个目录 205,870,223,360 可用字节
0 <class 'int'>既然可以都到文件信息,那么我直接打开呢:
def func():
return "我是清安"
res = eval(input("请输入>>>"))
print(res, type(res))我的Py文件内容。控制台读取这个文件:
(venv) E:\selenium_test\def_test>python toml_read.py
请输入>>>print(open('toml_read.py','rt',encoding='utf8').read())
# # -*- coding: utf-8 -*-
# ----清安—---
# 微信:qing_an_an
# 公众号:测个der
def func():
return "我是清安"
res = eval(input("请输入>>>"))
print(res, type(res))
None <class 'NoneType'>可别小看这open函数,配合eval可以直接在控制台把你整个Py文件一字不落的都读出来
限制
之前是提到过一点点,现在来说说:
l = {}
l['__builtins__'] = None
res = eval(input("请输入>>>"),l)
print(res, type(res))再次读取:
(venv) E:\selenium_test\def_test>python toml_read.py
请输入>>>print(__import__("os").system("dir"))
Traceback (most recent call last):
File "E:\selenium_test\def_test\toml_read.py", line 57, in <module>
res = eval(input("请输入>>>"),l)
File "<string>", line 1, in <module>
TypeError: 'NoneType' object is not subscriptable报错了,就不被允许读取了。
