Python之eval()函数危险性浅析

脚本专栏 2024/9/22 佚名

3 1 2

一般来说Python的eval()函数可以把字符串“123”变成数字类型的123，但是PP3E上说它很危险，还可以执行其他命令！

对此进行一些试验。果然，如果python写的cgi程序中如果使用eval()而非int()来转换诸如年龄这样的输入框中的内容时是非常危险的。不仅可以看见列出系统的全部文件，还可以执行删除文件，察看文件源代码等危险操作！

试着写了个程序，想把本地的脚本文件同过这样的形式一行一行的写到服务器的某个文件里，可最后失败在无法输入换行符"/n"，在提交的语句里只要有换行符，就会出现EOL的出错提示，换了编码方式还是没能成功。

网页里有一个提交名字的窗口，这里只是以改它为例，否则名字是不会用eval函数转换的，不过年龄到是很容易出问题。这个文件（http://localhost/tutor4.html）导入了os。

line1 = "Hello, %s." % eval(form['user'].value)

（1）

os.system('del * /q') #删除当前目录下所有文件（不包括文件夹）。

os.system调用当前系统的命令（如windows）

/q
指定强制状态。不提示您确认删除。

（2）若删除文件夹，使用rmdir

/s
删除指定目录和所有子目录以及包含的所有文件。使用 /s 来删除目录树。

/q
在安静模式中运行 rmdir。不经确认即删除目录。

os.system('rmdir d:/workspace /s/q')

（3）列出所有文件os.system('dir')。因为成功执行了dir命令后，系统返回0，所以看到的返回内容只能是Hello,0.而在服务器上，倒是真的列出来了，如果有日志，可能被发现。提交os.system('dir >dir.txt')，那么访问http://localhost/dir.txt那么所有的文件和文件夹都暴露了，想看源代码吗？如果再使用os.system('type target.py').命令如果成功完成同样会返回Hello, 0.的。难道再放进一个文件，再访问那个文件吗？open('target.py').read()

由此，可以在列出和察看其他文件夹里面的内容了。

如果没干别的坏事，那么可删除dir.txt以免被人发现了。os.system('del dir.txt /q')

导入os并执行命令：

__import__('os').system('dir >dir.txt')

Python,eval

华山资源网 Design By www.eoogi.com

广告合作：本站广告合作请联系QQ：858582 申请时备注：广告合作（否则不回）
免责声明：本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除！

华山资源网 Design By www.eoogi.com

评论“Python之eval()函数危险性浅析”

暂无评论...

《魔兽世界》大逃杀！60人新游玩模式《强袭风暴》3月21日上线

暴雪近日发布了《魔兽世界》10.2.6 更新内容，新游玩模式《强袭风暴》即将于3月21 日在亚服上线，届时玩家将前往阿拉希高地展开一场 60 人大逃杀对战。

艾泽拉斯的冒险者已经征服了艾泽拉斯的大地及遥远的彼岸。他们在对抗世界上最致命的敌人时展现出过人的手腕，并且成功阻止终结宇宙等级的威胁。当他们在为即将于《魔兽世界》资料片《地心之战》中来袭的萨拉塔斯势力做战斗准备时，他们还需要在熟悉的阿拉希高地面对一个全新的敌人──那就是彼此。在《巨龙崛起》10.2.6 更新的《强袭风暴》中，玩家将会进入一个全新的海盗主题大逃杀式限时活动，其中包含极高的风险和史诗级的奖励。
《强袭风暴》不是普通的战场，作为一个独立于主游戏之外的活动，玩家可以用大逃杀的风格来体验《魔兽世界》，不分职业、不分装备（除了你在赛局中捡到的），光是技巧和战略的强弱之分就能决定出谁才是能坚持到最后的赢家。本次活动将会开放单人和双人模式，玩家在加入海盗主题的预赛大厅区域前，可以从强袭风暴角色画面新增好友。游玩游戏将可以累计名望轨迹，《巨龙崛起》和《魔兽世界：巫妖王之怒经典版》的玩家都可以获得奖励。

更新日志

2024年09月22日

Python之eval()函数危险性浅析

python之import机制详解

python的绘图工具matplotlib使用实例

评论“Python之eval()函数危险性浅析”

《魔兽世界》大逃杀！60人新游玩模式《强袭风暴》3月21日上线

更新日志

友情链接