Python中的eval()函数详解

Python中的eval()函数详解

eval()是Python的一个内置函数，用于执行字符串形式的Python表达式并返回结果。它是一个强大但需要谨慎使用的函数。

基本语法

eval(expression, globals=None, locals=None)

• expression：字符串形式的Python表达式
• globals（可选）：全局命名空间字典
• locals（可选）：局部命名空间字典

基本用法

# 简单数学表达式
result = eval("3 + 4 * 2")  # 返回11

# 使用变量
x = 10
result = eval("x + 5")  # 返回15

# 使用函数
eval("print('Hello, World!')")  # 打印Hello, World!

安全性问题

eval()可以执行任意Python代码，因此存在严重的安全风险：

# 危险示例 - 可能删除文件！
user_input = "__import__('os').system('rm -rf /')"
eval(user_input)  # 千万不要这样做！

安全使用建议

1. 限制命名空间：

   safe_dict = {"__builtins__": None}  # 禁用内置函数
   eval("3 + 4", safe_dict, safe_dict)  # 安全
   

2. 使用ast.literal_eval()替代（只能计算字面量表达式）：

   from ast import literal_eval
   literal_eval("[1, 2, 3]")  # 返回列表[1, 2, 3]
   

3. 白名单过滤：

   allowed_chars = set("0123456789+-*/(). ")
   if not set(user_input).issubset(allowed_chars):
       raise ValueError("非法字符")
   

实际应用场景

1. 数学表达式计算器：

   def calculate(expression):
       try:
           return eval(expression, {"__builtins__": None}, {})
       except:
           return "无效表达式"
   

2. 简单配置解析：

   config_str = "{'timeout': 30, 'retry': 3}"
   config = eval(config_str)  # 转换为字典
   

3. 动态代码生成（高级用法）：

   def make_adder(n):
       return eval(f"lambda x: x + {n}")
   
   add5 = make_adder(5)
   print(add5(3))  # 输出8
   

与exec()的区别

• eval()计算表达式并返回值
• exec()执行语句但不返回值

eval("3 + 4")  # 返回7
exec("3 + 4")  # 不返回任何内容
exec("x = 3 + 4")  # 创建变量x=7

性能考虑

eval()比直接执行代码慢，因为它需要先编译字符串：

# 测试性能
import timeit
timeit.timeit('eval("3 + 4")')  # 比直接3+4慢很多

总结

eval()是一个强大的工具，但应该：

1. 避免用于处理不受信任的输入
2. 尽量使用更安全的替代方案如ast.literal_eval()
3. 使用时严格限制可访问的命名空间
4. 考虑是否有更好的实现方式

在大多数情况下，如果发现自己在考虑使用eval()，应该先思考是否有更安全、更明确的方法来实现相同的功能。