Какие угрозы безопасности связаны с использованием функции `eval()` в Python, и какие рекомендуемые альтернативы существуют для безопасного вычисления строковых выражений?

Что делает eval()

eval() выполняет строку как выражение Python и возвращает результат. Хотя это мощный инструмент, он представляет серьёзные угрозы безопасности при использовании с ненадёжным вводом.

Риски безопасности

• Может выполнять произвольный код Python, включая вредоносные системные команды
• Злоумышленник может передать строку вроде "__import__('os').system('rm -rf /')", чтобы удалить файлы или скомпрометировать систему
• Любой код, выполняемый eval(), имеет полный доступ к текущей области видимости и окружению

Рекомендуемая альтернатива

Самая безопасная альтернатива — ast.literal_eval() из стандартной библиотеки Python:

• Она вычисляет только литералы — такие как строки, числа, списки, словари, кортежи, булевы значения и None
• Она выбрасывает исключение, если ввод содержит что-то за пределами этих безопасных типов
• Это стандартный рекомендуемый подход при парсинге данных из ненадёжных источников

Ключевые различия

• eval() — выполняет любое валидное выражение Python, опасно с ненадёжным вводом
• ast.literal_eval() — вычисляет только безопасные литеральные структуры, выбрасывает ValueError или SyntaxError при небезопасном вводе

Лучшие практики

• Никогда не используй eval() на пользовательском или внешнем вводе
• Предпочитай ast.literal_eval() при парсинге структурированных литералов наподобие JSON-подобных данных
• Для JSON конкретно используй модуль json: import json result = json.loads('{"key": 42}')
• Если действительно нужно вычислять сложные выражения, рассмотри специализированную библиотеку для парсинга в изолированной среде