动态读取python文件并安全地执行它

前端之家收集整理的这篇文章主要介绍了动态读取python文件并安全地执行它前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

我正在编写一个应用程序,我希望用户能够输入角落案例的python文件.在我的脑海中,我能想到的最好方法是将文件保存到磁盘并将位置保存到数据库,然后使用__import __()动态导入它,然@R_404_424@它.我的问题的第一部分是:这是最好的方法吗?

此外,这带来了一些非常大的安全问题.有没有办法在限制下运行他们的模块?不让它看到文件系统或任何东西?

编辑:

python的执行将是从“正常”范围之外的后端服务检索数据,因此它不是一个完整的应用程序.它可能只是自定义协议的定义.

最佳答案
您可以使用compile和exec builtins的组合在内存中执行.缺点是你没有获得追溯中的源代码行.

尽管对安全没什么希望.即使您使用了可笑的限制性过滤器,例如将所有内容限制为单个表达式并删除大多数内置函数,arbitrary code can be executed.禁止文件系统访问或访问其他操作系统资源,在Python中也很难,因为代码会在同一个过程中运行.有严格限制的子进程(chroot jail,ulimit等)是可能的,但这不仅是很多工作,它还排除了与宿主应用程序交互的大多数方法.

如果您的应用程序在本地运行并且具有与用户帐户相同的权限,那么最好不要担心并给予他们更多权力,因为他们不能做任何事情/他们无论如何也做不了多少,并且大多数限制都会使任务成为可能(不管它是什么)更难/更烦人.另一方面,如果代码将在服务器或其他东西上执行,则忘记在同一进程中运行它.

猜你在找的Python相关文章