启动“安全”eval()

Question

我正在制作一个 irc 机器人 https://github.com/mouuff/MouBot 当消息以 !math 开头时，我希望机器人回复 eval() 但是如果用户输入类似 !math exit() 之类的东西，它会创建失败

Answer 1

不要。

您似乎正在尝试创建一个数学解析器。然后使用数学解析器，而不是成熟的 I-will-run-any-code-parser。如果你使用 *nix，你可以使用像 bc 这样的程序来做你想做的事。

Answer 2

使用language services 将其编译为 AST，遍历 AST 确保它仅包含列入白名单的节点集，然后执行它。

Example implementation courtesy of unutbu

Answer 3

eval()的问题在于，当它执行时，它是有效的python代码，而exit()是python代码的有效部分，通常exit是一个程序（虽然这个特定的函数应该在IDLE中使用, 并且sys.exit() 优先用于非空闲使用）。

出于这个原因，eval() 应该只与受信任的输入一起使用，或者您应该为传递给eval() 函数的命令实现解析器，以消除不需要的输入（可能看看shlex如果你想实现自己的 split() 函数的模块，我已经将它用于许多解析器）。

Answer 4

如果您想要简单的数学评估，为什么要使用 Python 的全部力量，这可能而且将会被滥用。

使用PyParsing 之类的东西来编写一个简单的计算器，例如请参阅 SimpleCalc.py 或 fournfn.py ，我认为这些足以让您入门。你也可以试试SimpleParse

如果您确实想提供类似 eval 的强大且可滥用的功能，您应该启动一个 VM，在该 VM 中启动将回复 eval 查询的服务器进程，并在 VM 停止启动时使用 cgroups 限制每个进程另一个或保留一个 VM 和评估进程池。

Answer 5

我不确定它是否能帮助你，但看看这个 -> http://doc.pypy.org/en/latest/sandbox.html

或者这个 -> Is there an alternative to rexec for Python sandboxing?