eval函数可执行字符串形式的Python表达式并返回结果,其语法为eval(expression, globals=None, locals=None),常用于数学计算或变量运算,如eval("2+3*4")返回14,结合变量时需确保安全性;由于能执行任意代码,存在严重安全风险,尤其不可用于不可信输入,建议用ast.literal_eval()等更安全的方式替代。
eval 是 Python 内置的一个函数,用来动态执行字符串形式的 Python 表达式,并返回表达式的结果。简单来说,它可以把一段写在字符串里的代码“变成”真正的计算操作。
eval 的基本语法
函数原型:eval(expression, globals=None, locals=None)
- expression:必须是一个字符串形式的合法 Python 表达式,比如 "2 + 3"、"x * 2" 等
- globals:可选参数,用于指定表达式执行时的全局命名空间(字典形式)
- locals:可选参数,用于指定局部命名空间
常见使用方式
最简单的用法是直接传入一个数学表达式字符串:
eval("2 + 3 * 4") → 返回 14
eval("'hello' + 'world'") → 返回 "helloworld"
也可以结合变量使用:
x = 5
result = eval("x * 2") → result 是 10
如果想控制可用的变量,可以传入 globals 和 locals:
result = eval("a + b", {"a": 1, "b": 2}) → 返回 3
这样即使当前作用域有其他变量,eval 也只能访问你明确传入的那些。
注意事项和风险
eval 执行的是任意代码,存在严重安全风险。如果用户输入了恶意字符串,比如:
eval("__import__('os').system('rm -rf /')")
这可能会删除系统文件。因此,不要对不可信的输入使用 eval。
建议替代方案:
- 如果只是计算数学表达式,考虑使用 ast.literal_eval() 或专门的数学解
析库 - 处理数据结构字符串(如 "[1, 2, 3]")时,优先用 ast.literal_eval(),它只允许基本数据类型,更安全
析库基本上就这些。eval 功能强大但危险,用的时候要特别小心输入来源。能不用尽量不用,尤其是涉及用户输入的场景。
