1
社内のデスクトップアプリケーションでevalを使用するのは危険です。私は、Webアプリケーションの問題を理解しています。デスクトップのシッククライアントアプリケーションでは本当に問題ですか?シッククライアントのデスクトップアプリケーションでPythonの評価がより安全になる
我々は、我々は、ユーザーが社内DSLを使用してクエリを作成することができ、コメントが言ったように、動的にeval
A
答えて
1
を使用してPythonのコードにコンパイルし、それはあなたが「安全」で何を意味するかに依存してシナリオを持っています。セキュリティの観点からは、evalがすべての希望の終わりです。一度それを持って、戻って行くことはありません、ユーザーは彼が望む何でもすることができます。例
eval('(lambda fc=(lambda n: [c for c in().__class__.__bases__[0].__subclasses__() if c.__name__ == n][0]): fc("function")(fc("code")(0,0,0,0,"KABOOM",(),(),(),"","",0,""),{})())()')
ため
Consider(見えない?何の手を!)。あなたのOSにcat-picturesを上書きしたり、NP対Pを解決したり、PCをブラックホールに変えたりすることもできます。要するに、一度にと入力すると、ユーザ入力はeval()になります。危険です。ユーザーが入力した内容を正しくエスケープしようとするのをやめてください。
+0
デスクトップアプリケーションです。これにより、潜在的な攻撃の範囲がプログラムを実行しているユーザーのコンピュータに制限されます。 'eval'を使ってローカルアプリケーションをハックしようとしたり、落とそうとするのは何でしょうか? 'eval'を使ってできることは何もありません。そうでなければあなた自身のコンピュータにすることはできません。 – Kevin
関連する問題
- 1. Perl:安全な評価?
- 2. wpfデスクトップアプリケーションで検証をより安全にする方法は?
- 3. Javascriptで算術式を安全に評価する
- 4. 簡単な文字列の方程式を安全に評価する
- 5. if文の条件評価順序に頼っても安全ですか?
- 6. Pythonでの評価順序
- 7. Pythonでのインフィクス評価
- 8. Python関数の引数の評価順序に頼っても安全ですか?
- 9. Python socket.recv評価
- 10. 評価が「NaN」になる
- 11. Python PyQtデスクトップアプリケーションでユーザを安全に認証して認証する
- 12. 評価バーが大型になり、カットオフ
- 13. javascriptで安価な価格をより多く計算する
- 14. 安全なPythonインタープリタ?
- 15. Pythonのブール式の評価
- 16. wp_mail()がmail()より安全な方法
- 17. Pythonで安全にurlencode-ed辞書を評価するには?私は私に次のデータを送信し、オンラインサービスと通信する必要があり
- 18. YouTube Gdata Pythonでの平均評価がありません
- 19. Pythonのグローバルネームスペースと評価順
- 20. 評価関数を安全にするにはどうすればよいですか?
- 21. jQueryのより安全な形
- 22. Pythonでの色収差の評価
- 23. Pythonのファイルクローズ安全
- 24. メッセージパッシングによるパフォーマンス評価
- 25. PYTHON評価およびそれ以前
- 26. 関数が全く評価されない不思議なバグ
- 27. Pythonで微分をどのように評価しますか?
- 28. QuantLib-PythonでのFx前方評価
- 29. Pythonの評価( 'インポートFOO')にSyntaxError
- 30. 安全なPython REST API
危険は相対的です。セキュリティの観点から、または安定性の観点から危険ですか?任意のコードを許可する場合は、ユーザビリティの観点から、少なくとも例外的にすべての例外を正常に処理する必要があります。 – Sam