Python:eval的妙用和滥用

eval()函数十分强大，官方demo解释为：将字符串str当成有效的表达式来求值并返回计算结果。
(eval语句用来计算存储在字符串中的有效Python表达式。）
（eval 会计算字符串形式的Python表达式，并返回结果的值。）
exec是类似的
exec语句用来执行储存在字符串或文件中的Python语句

#Python计算器 $print eval(raw_input("Please input an arithmetic expression:")) $Please input an arithmetic expression:1+2 $3

上面代码解释，上面代码中eval内部现在还不是字符串，首先执行raw_input()函数，raw_input()返回你输入的求值字符串，现在eval函数内部就是求值字符串了，就可以用eval进行字符串的求值了。如输入：4*5+6，那么raw_input就会返回“4*5+6”，eval求值后为26.
要注意上面代码与下面代码的区别：

$print eval('raw_input("Please input an arithmetic expression:")')$Please input an arithmetic expression:1+2$1+2

其他用法，可以把list,tuple,dict和string相互转化。见下例子：

a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]"b = eval(a)bOut[3]: [[1, 2], [3, 4], [5, 6], [7, 8], [9, 0]]type(b)Out[4]: lista = "{1: 'a', 2: 'b'}"b = eval(a)bOut[7]: {1: 'a', 2: 'b'}type(b)Out[8]: dicta = "([1,2], [3,4], [5,6], [7,8], (9,0))"b = eval(a)bOut[11]: ([1, 2], [3, 4], [5, 6], [7, 8], (9, 0))

不可谓不强大！

ＢＵＴ！强大的函数有代价。安全性是其最大的缺点。

想一想这种使用环境：需要用户输入一个表达式，并求值。

如果用户恶意输入，例如：

__import__('os').system('dir')

那么eval()之后，你会发现，当前目录文件都会展现在用户前面。

那么继续输入：

open('文件名').read()

代码都给人看了。获取完毕，一条删除命令，文件消失。哭吧！

---

参考：
http://www.cnblogs.com/youxin/p/3654363.html
http://www.tuicool.com/articles/BBVnQbq