利用Python exec()實現動態代碼執行

在Python中，動態代碼特指用字元串、元組、列表、字典等對象表示的代碼。Python中有兩種實現動態代碼的方式：eval()和exec()；前者是計算表達式的值，後者是執行字元串中的代碼。

eval()會計算字元串表示的表達式，並返回計算結果。但它同樣存在安全風險，容易遭受注入攻擊，因此在實際開發中慎用。exec()更適用於需要執行代碼塊的情況。

exec()是一個內置函數，用於執行字元串類型的Python代碼。exec()執行後，會將字元串中的內容作為代碼進行解釋執行。如果字元串中包含有賦值語句，exec()會在當前環境下執行這些語句。

exec()的語法如下：

exec(object, globals=None, locals=None)

參數object為一個字元串類型的Python代碼，它要被執行。參數globals和locals分別表示全局和局部命名空間，它們都是可選的。

默認情況下，exec()會在當前環境下執行字元串中的代碼。例如：

str_exec = "print('hello world')"
exec(str_exec)

輸出：

hello world

在執行exec()函數時，可以通過locals參數指定局部變數。例如：

str_exec = "result = pow(3, 2)"
exec(str_exec, locals())
print(result)

輸出：

類似於帶有局部參數的執行，如果你想要在exec()函數中訪問全局變數，可以通過globals參數指定。例如：

str_exec = "print(greeting)"
g = {"greeting": "hello world"}
exec(str_exec, g)

輸出：

hello world

exec()是一個非常靈活的功能，允許你動態執行代碼，同時它也是Python在安全方面存在短板的一個重要源頭。由於exec()允許執行任意代碼，直接使用用戶提供的數據（用戶可以通過繞過輸入限制來注入它們需要的代碼）會導致安全問題。

因此，當需要執行來自不可信來源的代碼時，推薦使用其他可控制安全風險的方法（例如ast.literal_eval()）作為替代方案，避免在任意用戶提供的數據上運行exec()函數。

exec()是Python的一個內置函數，用於執行字元串類型的Python代碼。它對於需要執行代碼塊的場景非常實用。在使用時需要注意安全問題，尤其是在處理不可信數據時。相比於eval()，exec()可以執行多行語句並有更多控制參數可用。

原創文章，作者：小藍，如若轉載，請註明出處：https://www.506064.com/zh-tw/n/285985.html