如果你的输入来自可信源,则的eval()是最容易的,最清晰,最可靠的方式。
如果你的输入是不可信,那么它需要是消毒。
一个合理的方法是使用正则表达式。确保字符串中没有函数调用,属性查找或双下划线。
或者,更复杂的方法是走AST分析树来确定是否有任何令人反感的调用。
第三种方法是行走AST分析树并直接执行它。这可以让你完全控制接听电话。 ast.literal_eval函数采用这种方法。也许你从源头开始,为你想要支持的任何操作做一些扩展:
def literal_eval(node_or_string):
"""
Safely evaluate an expression node or a string containing a Python
expression. The string or node provided may only consist of the following
Python literal structures: strings, numbers, tuples, lists, dicts, booleans,
and None.
"""
_safe_names = {'None': None, 'True': True, 'False': False}
if isinstance(node_or_string, basestring):
node_or_string = parse(node_or_string, mode='eval')
if isinstance(node_or_string, Expression):
node_or_string = node_or_string.body
def _convert(node):
if isinstance(node, Str):
return node.s
elif isinstance(node, Num):
return node.n
elif isinstance(node, Tuple):
return tuple(map(_convert, node.elts))
elif isinstance(node, List):
return list(map(_convert, node.elts))
elif isinstance(node, Dict):
return dict((_convert(k), _convert(v)) for k, v
in zip(node.keys, node.values))
elif isinstance(node, Name):
if node.id in _safe_names:
return _safe_names[node.id]
elif isinstance(node, BinOp) and \
isinstance(node.op, (Add, Sub)) and \
isinstance(node.right, Num) and \
isinstance(node.right.n, complex) and \
isinstance(node.left, Num) and \
isinstance(node.left.n, (int, long, float)):
left = node.left.n
right = node.right.n
if isinstance(node.op, Add):
return left + right
else:
return left - right
raise ValueError('malformed string')
return _convert(node_or_string)
你试图解决什么问题?你在制作一个gp读取 - 解释循环吗? – starbolin