看到视图逻辑层有同事用eval,我过去就给替换了。

最新推荐文章于 2023-06-13 09:45:00 发布
最新推荐文章于 2023-06-13 09:45:00 发布
阅读量417 收藏
点赞数
文章标签: eval 安全版eval literal_eval ast 一jio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22795513/article/details/105580397
版权

背景:
前端根据用户输入的内容(输入一个数据),视图层自动给解析并求值成 字符串/整形/字典/浮点型/列表等。
结果小伙伴用了eval(用户输入的内容),如果加了双引号那就是字符串这个意思。
但是实际运用中。eval虽然很方便,但是却也伴随着危险。(大佬勿看)
假如万一有个用户输入的并不是一个安全的python数据类型的内容,而是某些恶意代码呢,那不是出了大事?比如os模块 或者某个计算表达式。
所以在这里隆重介绍下 安全版本的eval(),他只能求值python的数据类型,其他的各种计算命令根本不会执行。那么它是谁呢?就是ast.literal_eval
废话不多说,直接看代码图示,展示eval 和 ast.literal_eval 的各种情况下的运行效果:
首先是求值 “abcd”
在这里插入图片描述
如图,tmp作为用户输入的内容 ,完全忠实的搬运过来。等待eval处理
看看处理结果:
在这里插入图片描述
很明显。转化成了字符串,没问题
那么再来看ast.literal_eval的效果
在这里插入图片描述
结果直接报错
在这里插入图片描述
再来看看若直接写进去 不通过其他引用
在这里插入图片描述
在这里插入图片描述
结果就是正常的了。
所以ast.literal_eval 在这一点上可以说是相当严谨了。安全性大幅提高。
再来看看计算表达式:
在这里插入图片描述
在这里插入图片描述
可以看到很轻松就求出值。这和我们起初前端页面的设想是不一样的。很危险就是了。
这里就不放一些恶意危险代码了以免被小朋友学坏了
再来看ast.literal_eval的表现
在这里插入图片描述
在这里插入图片描述
看 仍然会报错。可以看到屏蔽了各种计算表达式。所以用户输入的只能是python的正常合法数据类型了。否则就会报错。

Splunk中single value视图使用将数值替换为文字
QYHuiiQ
07-06 408
在splunk的single value视图中,之前我们直使用的是直接根据值来展示颜色,也就是single value中用的是什么值,那么颜色的设置就是根据这个值来显示的,换言之,这个展示的值必须是设置颜色规则的值。而有些情况下我们可能只想展示个指标的名称,然后根据这个指标的值设置颜色,也就是说将原来展示值改为展示指标名称,不展示具体的值,但是依然以这个值来设置颜色。对于这种案例,我们的实现思路就是还是按照值来展示,最后再将这个值替换为指标名称(文本)。假设原来的情况是这样的,当grade值大于60时显
封装的selenium和po模式,可自动维护元素和减少前端ui修改带来的麻烦工作量_wqrf_selenium.zip
最新发布
08-28
封装的selenium和po模式,可自动维护元素和减少前端ui修改带来的麻烦工作量_wqrf_selenium
【首发】种解决因前端ui频繁变动导致appium定位失败的方法: wqrfnium_app
我去热饭的博客
09-05 1399
appium定位失败的原因有很多,元素定位代码变了是最大的原因。 比如位置变了,你的xpath就不好使了。id等属性变了,你的定位代码也要重新维护了。 那么有没有种 可以自动帮你去识别并维护的算法呢? 当然有,那就是wqrf系列工具 今天要介绍的就是专门处理 安卓端的appium框架的 自动维护插件:wqrfnium-app 目前可直接pip install 下载。 之前熟悉或者用过处理selenium的wqrfnium的小伙伴对此应该不会太陌生。这个wqrfnium-app从名字就可以看得出.
自动化测试平台:自组织,自适应,自感知,自编程
我去热饭的博客
04-21 706
本平台特点为:自组织,自适应,自感知,自编程。技术栈为:python3 + django + vue + elementUI/bootstrap5 +html/js/jq + selenium + appium + airtest + reuqest + 多进程/线程/协程+unittest+pytest+mitmproxy + wqrfnium +wqrfproxy+ wqrfnium-app + django_task_mq + python_jenkins_monitor等多种技术融合实现。
完美解决因前端ui频繁变动导致selenium定位失败的方法:wqrfnium
我去热饭的博客
10-08 3345
完美解决selenium定位不到元素,因为元素的各种属性变化导致的问题。 你是否曾遇到以下情况: 好不容易写个selenium自动化脚本,然后没几天,运行,报错了。用例失败了。然后去查发现是因为元素的属性前端更改了导致定位失败。后期维护起来的成本太大了。 很多领导考虑到公司实际情况,就直接扼杀了你的selenium自动化方案。 曾几何时,面试题中问:ui自动化的使用场景是什么?答:前端不频繁变动...
wqrfnium工具增加了api方式
我去热饭的博客
11-21 1364
wqrfnium 作为自主研发的可以几乎彻底解决selenium因前端变动找不到元素的工具,之前0.1.x时代只有excel表来存储需要自动维护的页面元素。 现在更新到0.2.x后,新增了可以通过接口请求来获取元素和更新元素的功能。这意味着你可以把元素放到某个服务器/平台/数据库 等任何地方。前提是你要写俩个接口用来获取和更新元素。 引入的时候有俩种方式可选: wqrfnium.wqrfnium ...
【python】如何将字符串转成字典
不积跬步无以至千里,不积小流无以成江海~
06-13 633
背景:在学习Django时候,根据输入的json数据,后端再将数据进行存储,发现后端读取出来的json数据是字符串类型的,即使我使用json.loads()方法来转化也没有转成字典类型我这就意识到不得不总结记录下。
基于template的HTML5模板引擎,安全eval.zip
02-13
1. **模板语法**:fill.js可能使用特定的标签或表达式来标识需要动态替换的部分,例如`{{variable}}`,其中`variable`是待插入的数据。 2. **数据绑定**:模板引擎允许将JavaScript对象或JSON数据绑定到HTML元素,...
ASP.NET MVC深度解析:控制器、路由与视图
动作方法可以选择性地使用`[ActionName]`特性来自定义名称,也可以用`[NonAction]`标记不作为动作的方法。 **处理未知的Action** 如果请求的动作不存在,MVC框架会尝试调用`HttpNotFound`方法,返回404错误页面。 ...
Python函数动态调用技巧:getattr和eval的高级用法
[Python函数动态调用技巧:getattr和eval的高级用法](https://blog.finxter.com/wp-content/uploads/2020/12/getattr-1-1024x576.jpg) # 1. Python函数动态调用概述 ## 1.1 动态调用的定义与重要性 在Python中,...
性能不再瓶颈!GD32450Z-EVAL开发板性能优化与调试全攻略
GD32450Z-EVAL开发板作为本研究的核心硬件平台,其性能分析与优化是实现系统高效运行的基础。本文首先介绍了开发板的硬件架构,包括核心处理器特性、存储系统和外设接口能力,并对电源管理系统进行了深入分析,探索...
vue-devtools v4.1.5
11-06
vue-devtools是款基于chrome游览器的插件,用于调试vue应用,这可以极大地提高我们的调试效率。接下来我们就介绍下vue-devtools的安装。
模拟Linux下的文件操作系统
03-06
模拟在linux下的文件操作系统 有八个用户,实现增加,删除,修改,存储等的对文件的功能
行业类别数据字典,数据库
04-11
按照 国民经济行业分类(GB/T 4754-2011),整理行业树形结构! 包含Excel源文件,数据库sql语句
django模型高级操作
MiniBirdie的博客
11-24 4173
django模型高级操作 本文介绍些django模型中的高级用法。   Meta类   在数据模型类中往往有个Meta类作为内部类。它用于定义些Django模型类的行为特性。以下对此作总结: abstract      这个属性是定义当前的模型类是不是个抽象类。所谓抽象类是不会对应数据库表的。般我们用它来归纳些公共属性字段,然后继承它的子类可以继承这些字段。比如下面的代
Go语言学习Day6
MarkusJean的博客
01-23 739
工作总结: django中request.data['key']与request.data.get('key')的区别——前者调用QueryDict.__getitem__(key)方法,如果key不存在则报错,后者调用QueryDict.get(key,default=None)方法,key不存在则返回None。 ast.literal_eval()方法,对传入的字符串自动进行类型转换。 @django.utils.functional.cached_property,cached_prope
图形界面自动化测试中的不稳定因素
Details Inside Spring
10-27 1123
1. Toast, 出现段固定的时间,然后自动消失 (安卓平台上有类似控件); 2. 蒙效果,进度条, 出现段不固定的时间,然后自动消失; 3. Tooltip, Hover popup, 需要浏览器保持focus,因此很容易受弹出窗口比如IM弹出窗口,或者广告弹窗干扰而失败,在使用扩展屏的时候也可能出问题; 4. JS库浏览器端控件带有buffer机制,控件会根据显示区域的大小动态决
selenium全自动获取控件定位方式,完美解决ui频繁变动模块
我去热饭的博客
05-27 3956
抱歉搁置了这么久。 现在开始: 1。对于任何控件,我先把其放在了张表中,类似于对象库的概念,表中存储了该元素的主键(我们以后只根据主键去调用元素),元素的源码(直接在浏览器中复制到表即可,程序会自动解析并定位)。目前仅是第,存在很多很多优化点,但是因为时间不足,目前没有继续优化,后续可能会持续改进, 如图: 2。调用的时候,仅需要用do函数,do函数需要3个参数: driver,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我去热饭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值