Gibt es irgendwelche bekannten Möglichkeiten, dass ast.literal_eval(node_or_string) nicht wirklich sicher ist?Python 3, Gibt es Sicherheitslücken in ast.literal_eval (node_or_string)?
Wenn ja, sind Patches für sie verfügbar?
(ich weiß schon über PyPy [Sandbox], die vermutlich sicherer ist, aber es sei denn, die Antworten sind ja dann nicht, sind meine Bedürfnisse kleinere genug, dass ich nicht so weit gehen.)
Die documentation gibt an, dass es sicher ist, und es gibt keinen Fehler bezüglich der Sicherheit von literal_eval im bug tracker, also können Sie wahrscheinlich annehmen, dass es sicher ist.
according to the source, analysiert literal_eval die Zeichenfolge zu einem Python-AST (Quelltextbaum) und gibt nur zurück, wenn es sich um ein Literal handelt. Der Code wird niemals ausgeführt, sondern nur analysiert. Es gibt also keinen Grund, ein Sicherheitsrisiko darzustellen.
+1 Der Grund, warum es hier keine weiteren Antworten gibt, ist, dass nichts mehr gesagt werden muss. –
Nun, es ist immer schwierig zu beweisen, dass es kein Risiko gibt, aber die Tatsache, dass der Code niemals wirklich ausgeführt wird, sollte helfen zu überzeugen, dass es nicht viel Risiko gibt. – madjar
Das Risiko ist ungefähr das gleiche wie bei Python selbst. –
Nein, aber ich CBA, es zu beweisen. –