eval()
和 compile()
是 Python 中的两个内置函数,用于动态执行字符串形式的代码。它们在某些情况下非常有用,但也需要谨慎使用,因为它们可能带来安全风险。
eval()
eval()
函数用于计算字符串形式的表达式,并返回表达式的结果。它只能执行单个表达式,而不能执行多条语句。
语法
eval(expression, globals=None, locals=None)
-
expression
: 一个字符串,表示要计算的表达式。 -
globals
: 可选。一个字典,指定全局命名空间。 -
locals
: 可选。一个字典,指定局部命名空间。
示例
# 简单表达式
result = eval("2 + 2")
print(result) # 输出: 4
# 使用变量
x = 10
result = eval("x * 2")
print(result) # 输出: 20
# 使用全局和局部命名空间
global_vars = {'x': 5}
local_vars = {'y': 10}
result = eval("x + y", global_vars, local_vars)
print(result) # 输出: 15
compile()
compile()
函数用于将字符串形式的代码编译为代码对象,可以使用 exec()
或 eval()
执行。它可以编译单个表达式、单条语句或多条语句。
语法
compile(source, filename, mode, flags=0, dont_inherit=False, optimize=-1)
-
source
: 一个字符串,表示要编译的代码。 -
filename
: 一个字符串,表示代码的文件名(用于错误提示)。 -
mode
: 一个字符串,指定编译模式,可以是'exec'
(多条语句)、'eval'
(单个表达式)或'single'
(单条语句)。 -
flags
: 可选。控制代码编译的标志。 -
dont_inherit
: 可选。控制是否从调用者继承编译标志。 -
optimize
: 可选。指定优化级别。
示例
# 编译并执行单个表达式
code = compile("2 + 2", "<string>", "eval")
result = eval(code)
print(result) # 输出: 4
# 编译并执行多条语句
code = compile("""
x = 10
y = 20
result = x + y
""", "<string>", "exec")
exec(code)
print(result) # 输出: 30
# 编译并执行单条语句
code = compile("print('Hello, World!')", "<string>", "single")
exec(code) # 输出: Hello, World!
安全性
使用 eval()
和 exec()
执行动态代码时要非常小心,因为它们会执行传入的任何代码,这可能会导致安全漏洞。例如:
user_input = "os.system('rm -rf /')" # 这是一条恶意命令
eval(user_input) # 这会删除系统中的所有文件!
为了避免这种情况,尽量避免在处理不信任的输入时使用 eval()
或 exec()
。如果必须使用,确保对输入进行严格的验证和过滤。
总结
-
eval()
用于计算字符串形式的表达式。 -
compile()
用于将字符串形式的代码编译为代码对象,可以通过exec()
或eval()
执行。 - 使用这两个函数时要注意安全性,避免执行不信任的输入。