357

Jak wykonać ciąg zawierający kod Python w Pythonie?

python string exec

— hekevintran
źródło

5

Szczerze mówiąc, w przeciwieństwie do drugiego pytania, to pytanie nie jest duplikatem. Inni zadali o wiele więcej podstawowych pytań niż to.

— DNS

8

Prawidłowa odpowiedź to prawie zawsze „nie!”.

— bobince

23

@S. Lott: Nie czytałeś ostatnio FAQ? „Można również zadawać własne pytania dotyczące programowania i odpowiadać na nie, ale udawać, że jesteś w Jeopardy: sformułuj je w formie pytania”. To nie jest złe pytanie. +1

— Devin Jeanpierre

49

@ S.Lott: Nie. Nie musisz. Jeśli pytania nie ma jeszcze na stronie, oznacza to, że jest to uczciwa gra (zgodnie z FAQ, jak już wspomniano). Odpowiedz tylko na każde pytanie, tak jakby PO potrzebuje pomocy. Być może nie, ale prawdopodobnie zrobi to następny facet, który przeczyta ich pytanie. Tylko moje 2 centy.

— Bill the Lizard

1

Do wszystkich, którzy mówią, żeby tego nie robić: mam przypadek, w którym absolutnie muszę. Obejmuje przetwarzanie rozproszone.

— sudo

331

W przypadku instrukcji użyj exec(string)(Python 2/3) lub exec string(Python 2):

>>> mycode = 'print "hello world"'
>>> exec(mycode)
Hello world

Jeśli potrzebujesz wartości wyrażenia, użyj eval(string):

>>> x = eval("2+2")
>>> x
4

Jednak pierwszym krokiem powinno być zadanie sobie pytania, czy naprawdę potrzebujesz. Wykonywanie kodu powinno zasadniczo być ostatecznością: jest powolne, brzydkie i niebezpieczne, jeśli może zawierać kod wprowadzony przez użytkownika. Zawsze powinieneś najpierw spojrzeć na alternatywy, takie jak funkcje wyższego rzędu, aby sprawdzić, czy mogą one lepiej zaspokoić twoje potrzeby.

— Brian
źródło

1

ale co z zakresem kodu wykonywanego przez „exec”? czy jest zagnieżdżony?

— jondinham,

21

Częstym przypadkiem, gdy ktoś chce użyć „exec”, jest coś w rodzaju if s=='foo': x.foo = 42 elif s=='bar': x.bar = 42itp., Które może następnie zapisać jako exec ("x.%s = 42" % s). W tym typowym przypadku (gdy potrzebujesz tylko dostępu do atrybutu obiektu przechowywanego w ciągu), istnieje znacznie szybsza, czystsza i bezpieczniejsza funkcja getattr: po prostu pisz, getattr(x, s) = 42aby oznaczać to samo.

— ShreevatsaR

5

W jaki sposób exec działa wolniej niż interpreter Pythona?

— Cris Stringfellow

6

@ShreevatsaR nie masz na myśli setattr(x, s, 42)? Próbowałem getattr(x, 2) = 42i nie udało sięcan't assign to function call: <string>, line 1

— Tanner Semerad,

6

@Tanner: Hmm. Tak, rzeczywiście setattr(x, s, 42)jest poprawna składnia. Zaskoczony, że tak długo zajęło wykrycie tego błędu. W każdym razie chodzi o to, że getattri setattrsą alternatywą dla execkiedy chcesz to dostać dowolny element, spojrzał w górę przez struny.

— ShreevatsaR

68

W tym przykładzie łańcuch jest wykonywany jako kod za pomocą funkcji exec.

import sys
import StringIO

# create file-like string to capture output
codeOut = StringIO.StringIO()
codeErr = StringIO.StringIO()

code = """
def f(x):
    x = x + 1
    return x

print 'This is my output.'
"""

# capture output and errors
sys.stdout = codeOut
sys.stderr = codeErr

exec code

# restore stdout and stderr
sys.stdout = sys.__stdout__
sys.stderr = sys.__stderr__

print f(4)

s = codeErr.getvalue()

print "error:\n%s\n" % s

s = codeOut.getvalue()

print "output:\n%s" % s

codeOut.close()
codeErr.close()

— hekevintran
źródło

1

zamiana stdout i stderr w ten sposób bardzo mnie denerwuje. wygląda na to, że może powodować ogromne problemy z bezpieczeństwem. czy jest na to jakiś sposób?

— Narcolapser

1

@Narcolapser powinieneś być bardziej zainteresowany używaniem exec(chyba że wiesz, że ciąg kodu pochodzi z zaufanego źródła).

— bruno desthuilliers

27

evali execsą właściwym rozwiązaniem, i można je stosować w bezpieczniejszy sposób.

Jak omówiono w podręczniku Pythona i jasno wyjaśniono w tym samouczku, funkcje evali execpobierają dwa dodatkowe parametry, które pozwalają użytkownikowi określić, jakie globalne i lokalne funkcje i zmienne są dostępne.

Na przykład:

public_variable = 10

private_variable = 2

def public_function():
    return "public information"

def private_function():
    return "super sensitive information"

# make a list of safe functions
safe_list = ['public_variable', 'public_function']
safe_dict = dict([ (k, locals().get(k, None)) for k in safe_list ])
# add any needed builtins back in
safe_dict['len'] = len

>>> eval("public_variable+2", {"__builtins__" : None }, safe_dict)
12

>>> eval("private_variable+2", {"__builtins__" : None }, safe_dict)
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "<string>", line 1, in <module>
NameError: name 'private_variable' is not defined

>>> exec("print \"'%s' has %i characters\" % (public_function(), len(public_function()))", {"__builtins__" : None}, safe_dict)
'public information' has 18 characters

>>> exec("print \"'%s' has %i characters\" % (private_function(), len(private_function()))", {"__builtins__" : None}, safe_dict)
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "<string>", line 1, in <module>
NameError: name 'private_function' is not defined

Zasadniczo definiujesz przestrzeń nazw, w której kod będzie wykonywany.

— alan
źródło

9

Nie można uczynić eval bezpiecznym: Eval jest naprawdę niebezpieczny . Jeśli weźmiesz ode mnie kod i sprawdzisz go, mogę segfaultować twój program Python. Koniec gry.

— Ned Batchelder,

3

@ v.oddou Odpowiedziałem na oświadczenie Alana: „eval and exec .. można używać w bezpieczny sposób”. To nieprawda. Gdyby ktoś powiedział „bash może być używany w bezpieczny sposób”, byłoby to również fałszywe. Bash jest niebezpieczny. Jest to konieczne niebezpieczeństwo, ale mimo wszystko niebezpieczne. Twierdzenie, że eval można zabezpieczyć, jest po prostu błędne.

— Ned Batchelder,

1

@NedBatchelder rzeczywiście tak. a link, który wskazujesz, jest dobrym materiałem. wraz z mocą przychodzi odpowiedzialność, więc chodzi po prostu o świadomość potencjalnej mocy ewaluacji. a jeśli zdecydujemy, że moc = niebezpieczeństwo.

— v.oddou

3

@NedBatchelder Wiele fragmentów kodu napisanych w Pythonie może być również niebezpiecznych, ale dlaczego zakładasz, że evallub execmają być używane jako exec(input("Type what you want"))? Istnieje wiele przypadków, w których program może napisać procedurę lub funkcję w wyniku obliczeń; wynikające z tego funkcje będą tak bezpieczne i tak szybkie (raz ocenione), jak każda inna część dobrego i dobrze napisanego programu. Niebezpieczny program zawierający execnie jest bardziej niebezpieczny niż niebezpieczny program sam wyrządzający szkodę, ponieważ execnie daje żadnego nowego przywileju programowi.

— Thomas Baruchel

1

@ThomasBaruchel ponownie, moim celem jest przeciwstawienie się temu, że eval lub exec można zabezpieczyć. W szczególności ta odpowiedź twierdzi, że kontrolowanie globali i mieszkańców umożliwi bezpieczne korzystanie z nich. To nieprawda. Za każdym razem, gdy używasz exec i eval, musisz dokładnie wiedzieć, jaki kod jest wykonywany. Jeśli tego nie zrobisz, jesteś otwarty na niebezpieczne operacje.

— Ned Batchelder

21

Pamiętaj, że od wersji 3 execjest funkcją!
więc zawsze używaj exec(mystring)zamiast exec mystring.

— bekki
źródło

11

eval()służy tylko do wyrażeń, podczas gdy eval('x+1')działa, eval('x=1')na przykład nie działa. W takim przypadku lepiej jest użyć exec, a nawet lepiej: spróbuj znaleźć lepsze rozwiązanie :)

— LGB
źródło

11

Unikaj `exec`i`eval`

Używanie `exec`iw `eval`Pythonie jest bardzo niezadowolone.

Istnieją lepsze alternatywy

Od najwyższej odpowiedzi (moje podkreślenie):

W przypadku wyciągów użyj exec.

Jeśli potrzebujesz wartości wyrażenia, użyj eval.

Jednak pierwszym krokiem powinno być zadanie sobie pytania, czy naprawdę potrzebujesz. Wykonywanie kodu powinno zasadniczo być ostatecznością : jest powolne, brzydkie i niebezpieczne, jeśli może zawierać kod wprowadzony przez użytkownika. Zawsze powinieneś najpierw spojrzeć na alternatywy, takie jak funkcje wyższego rzędu , aby sprawdzić, czy mogą one lepiej zaspokoić twoje potrzeby.

Od alternatyw do exec / eval?

ustaw i pobierz wartości zmiennych o nazwach w ciągach

[chociaż eval] działałoby, generalnie nie zaleca się używania nazw zmiennych mających znaczenie dla samego programu.

Zamiast tego lepiej użyj słownika.

To nie jest idiomatyczne

From http://lucumr.pocoo.org/2011/2/1/exec-in-python/ (moje podkreślenie)

Python nie jest PHP

Nie próbuj obchodzić idiomów Pythona, ponieważ jakiś inny język robi to inaczej. Przestrzenie nazw znajdują się w Pythonie z jakiegoś powodu i tylko dlatego, że daje ci narzędzie exec, nie oznacza to, że powinieneś używać tego narzędzia.

To jest niebezpieczne

From http://nedbatchelder.com/blog/201206/eval_really_is_dangerous.html (moje podkreślenie)

Tak więc eval nie jest bezpieczny, nawet jeśli usuniesz wszystkie globals i wbudowane!

Problemem wszystkich tych prób ochrony eval () jest to, że są czarnymi listami . Wyraźnie usuwają rzeczy, które mogą być niebezpieczne. To przegrana bitwa, ponieważ jeśli z listy pozostanie tylko jeden przedmiot, możesz zaatakować system .

Czy więc eval można zabezpieczyć? Ciężko powiedzieć. W tym momencie sądzę, że nie możesz wyrządzić krzywdy, jeśli nie możesz użyć podwójnych znaków podkreślenia, więc może wykluczając dowolny ciąg znaków z podwójnymi znakami podkreślenia, jesteś bezpieczny. Może...

Trudno to przeczytać i zrozumieć

From http://stupidpythonideas.blogspot.it/2013/05/why-evalexec-is-bad.html (moje podkreślenie):

Po pierwsze, execludziom trudniej jest odczytać kod . Aby dowiedzieć się, co się dzieje, nie muszę po prostu czytać twojego kodu, muszę czytać twój kod, dowiedzieć się, jaki ciąg wygeneruje, a następnie przeczytaj ten wirtualny kod. Tak więc, jeśli pracujesz w zespole, publikujesz oprogramowanie typu open source lub prosisz o pomoc w stylu StackOverflow, utrudniasz innym ludziom pomoc. A jeśli istnieje szansa, że za 6 miesięcy będziesz debugować lub rozwijać ten kod, bezpośrednio utrudniasz sobie pracę.

— Caridorc
źródło

„zgaduję, że nie możesz wyrządzić żadnej krzywdy, jeśli nie możesz użyć podwójnych znaków podkreślenia” - możesz zbudować ciąg zawierający podwójne znaki podkreślenia, a następnie wywołać eval ten ciąg.

— Stanley Bak,

dobra rada, chyba że piszesz generator kodu, narzędzie do wykonywania pracy lub podobne ... co większość ludzi tutaj robi.

— Erik Aronesty

Muszę zaimportować ścieżkę względną z pliku config ( cfg.yaml): reldir : ../my/dir/ i reldir = cfg[reldir]. Ponieważ jednak ten kod Pythona powinien działać zarówno w systemie Windows, jak i Linux, potrzebuję go, aby dostosować się do różnych dzielników ścieżek systemów operacyjnych; albo \\ albo /. Więc używam reldir : os.path.join('..','my','dir')w pliku konfiguracyjnym. Ale to tylko skutkuje reldirtym, że jest to ciąg literalny, a nie jest oceniany, więc nie mogę otworzyć pliku reldir. Czy masz jakieś sugestie?

— Marie. P.

9

Wykonujesz kod za pomocą exec, podobnie jak w przypadku następnej sesji IDLE:

>>> kw = {}
>>> exec( "ret = 4" ) in kw
>>> kw['ret']

4

— gus
źródło

1

To nie działa w normalnym pythonie. Przynajmniej nie w pythonie 3.

— Thomas Ahle,

6

Jak wspomniano inni, jest to „exec” ..

ale w przypadku, gdy kod zawiera zmienne, możesz użyć „globalnego”, aby uzyskać do niego dostęp, aby zapobiec kompilatorowi wywołania następującego błędu:

NameError: nazwa „p_variable” nie jest zdefiniowana

exec('p_variable = [1,2,3,4]')
global p_variable
print(p_variable)

— Ghanem
źródło

5

Użyj eval .

— Pablo Santa Cruz
źródło

7

Eval () nie wykonuje instrukcji.

— RickyA,

4

Warto wspomnieć, że ten execbrat istnieje również nazywany, execfilejeśli chcesz wywołać plik python. Czasami jest to dobre, jeśli pracujesz w pakiecie strony trzeciej, który zawiera straszne IDE i chcesz kodować poza jego pakietem.

Przykład:

execfile('/path/to/source.py)'

lub:

exec(open("/path/to/source.py").read())

— użytkownik1767754
źródło

3

Sprawdź eval :

x = 1
print eval('x+1')
->2

— ryeguy
źródło

10

Eval () nie wykonuje instrukcji.

— RickyA,

1

Próbowałem całkiem sporo rzeczy, ale jedyne, co zadziałało, to:

temp_dict = {}
exec("temp_dict['val'] = 10") 
print(temp_dict['val'])

wynik:

10

— paul-shuvo
źródło

0

Najbardziej logicznym rozwiązaniem byłoby użycie wbudowanej funkcji eval (). Innym rozwiązaniem jest zapisanie tego łańcucha do tymczasowego pliku python i wykonanie go.

— John T.
źródło

0

Ok .. Wiem, że to nie jest dokładnie odpowiedź, ale być może uwaga dla ludzi, którzy patrzą na to tak jak ja. Chciałem wykonać określony kod dla różnych użytkowników / klientów, ale chciałem również uniknąć wykonania / ewaluacji. Początkowo chciałem przechowywać kod w bazie danych dla każdego użytkownika i robić powyższe.

Skończyło się to na tworzeniu plików w systemie plików w folderze „customer_filters” i korzystaniu z modułu „imp”, jeśli dla tego klienta nie zastosowano żadnego filtra, to po prostu kontynuowano

import imp


def get_customer_module(customerName='default', name='filter'):
    lm = None
    try:
        module_name = customerName+"_"+name;
        m = imp.find_module(module_name, ['customer_filters'])
        lm = imp.load_module(module_name, m[0], m[1], m[2])
    except:
        ''
        #ignore, if no module is found, 
    return lm

m = get_customer_module(customerName, "filter")
if m is not None:
    m.apply_address_filter(myobj)

więc nazwa_klienta = „jj” wykona filtr_pliku_zastosowania z pliku filtry_klienta \ jj_filter.py

— Brian
źródło

1

Jak zarządzałeś bezpieczeństwem? Skąd wiesz, że klienci nie będą nadużywać tego przywileju?

— JSBach