Python eval()函数

eval(str)函数很强大，官方解释为：将字符串str当成有效的表达式来求值并返回计算结果。所以，结合math当成一个计算器很好用。

eval()函数常见作用有： 
1、计算字符串中有效的表达式，并返回结果

>>> eval('pow(2,2)')4>>> eval('2 + 2')4>>> eval("n + 4")85
1
2
3
4
5
6
7
1
2
3
4
5
6
7

2、将字符串转成相应的对象（如list、tuple、dict和string之间的转换）

>>> a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]">>> b = eval(a)>>> b[[1, 2], [3, 4], [5, 6], [7, 8], [9, 0]]>>> a = "{1:'xx',2:'yy'}">>> c = eval(a)>>> c{1: 'xx', 2: 'yy'}>>> a = "(1,2,3,4)">>> d = eval(a)>>> d(1, 2, 3, 4)
1
2
3
4
5
6
7
8
9
10
11
12
13
1
2
3
4
5
6
7
8
9
10
11
12
13

3、将利用反引号转换的字符串再反转回对象

>>> list1 = [1,2,3,4,5]>>> `list1`'[1, 2, 3, 4, 5]'>>> type(`list1`)<type 'str'>>>> type(eval(`list1`))<type 'list'>>>> a = eval(`list1`)>>> a[1, 2, 3, 4, 5]
1
2
3
4
5
6
7
8
9
10
11
1
2
3
4
5
6
7
8
9
10
11

But ！强大的函数有代价。安全性是其最大的缺点。

想一想这种使用环境：需要用户输入一个表达式，并求值。

如果用户恶意输入，例如：__import__('os').system('dir')

那么eval()之后，你会发现，当前目录文件都会展现在用户前面。

那么继续输入：open('文件名').read()  

代码都给人看了。获取完毕，一条删除命令，文件消失。哭吧！

怎么避免安全问题？

１、自行写检查函数；

２、使用ast.literal_eval