Что за вредоносный код? Зачем кому-то пропихивать его в своей же программе?

Кажется каникулы начались.

Не знаю, может у кого-то и начались. В другой теме мне посоветовали функцию eval() как идеальное решение для калькулятора. Но на многих форумах пишут, что лучше ей не пользоваться, т.к. она небезопасная, хотелось бы понять почему, и в каких конкретно случаях она небезопасная (и что можно с этим сделать).

https://www.startpage.com/do/dsearch?query=%D0%BF%D0%BE%D1%87%D0%B5%D0%BC%D1%83+%D0%BF%D0%BB%D0%BE%D1%85+eval&cat=web&pl=ext-ff&language=english&extVersion=1.3.0

eval is evil

Т.е. фраза «выполнение произвольного кода из переданных аргументов» тебе ни о чем не говорит? Тогда брысь обратно в школу.

Не знаю, может у кого-то и начались.

Не палишься, молодец.

Но на многих форумах пишут, что лучше ей не пользоваться, т.к. она небезопасная

Гугл знае про это. Причём безотносительно питона.

Погуглил еще, пишут что eval() везде опасен - в Python, JavaScript, PHP, и вообще использовать его никогда не надо. Вот еще нашел статью с примером на питоне.

https://habr.com/ru/post/221937/

Это очень мощная, но в то же время и очень опасная инструкция, особенно если строки, которые вы передаёте в eval, получены не из доверенного источника. Что будет, если строкой, которую мы решим скормить eval'у, окажется os.system('rm -rf /')? Интерпретатор честно запустит процесс удаления всех данных с компьютера

Т.е. получается, функция безопасна, только когда ты единственный пользователь своей программы?

Ну вычисли значение ‘rm -r ~’

нет, ведь ты можешь по ошибке передать туда код, который не следует исполнять //покормил бота

Почему плоха? Главное контролировать, какая строка в нее попала, или выполнится любой код, который eval сможет интерпретировать. Можно же и так считать факториал (pwsh) iex $((1..10) -join '*')

в твоем случае да. в песочнице, из которой ничего не выносится наружу много чего безопасно.
прост потом такие «программисты из песочницы» начинают вставлять эвелинку в свои последующие рабочие/отвественные проекты, а там она своей дырдочкой начинает светить везде где не нужно… просто не привыкай.

Вообще интересно, почему система позволяет питону, который запускается от простого юзера, выполнить такую команду, явно требующую привилегий админа в обычной консоли.

Почему «явно»?

Лол, а почему система должна требовать привелегий root для удаления содержимого домашнего каталога юзера?

Так ли это на самом деле?

да

Что за вредоносный код?

тот, который введет юзер

Зачем кому-то пропихивать его в своей же программе?

вопрос некорректный

Если все так плохо, какие еще варианты?

Тебе в предыдущем треде ответили. Читай внимательно.

Ты неправильно задаешь вопрос. Начни с того для чего вообще в разных ЯП существует такая функция. Мне сейчас лень писать, ибо ночь у меня глубокая. Даже странно, что адепты метапрога еще не пришли в тред.

Почему домашнего? Еще раз посмотри пример отсюда.

https://habr.com/ru/post/221937/

Что будет, если строкой, которую мы решим скормить eval’у, окажется os.system(‘rm -rf /’)? Интерпретатор честно запустит процесс удаления всех данных с компьютера

~~

Почему домашнего?

По качану, еще раз перечитай, что тебе ответили. Или ты не улавливаешь разницу между / и ~?

Внимательней читай, я HOME предложил почистить от лишнего мусора.

Ну, допустим, от инъекции кода в калькулятор вы избавитесь, будете проверять, что строка состоит из чисел, арифметических операторов и скобок. Потом решите добавить синус и косинус, притащите регулярные выражения, которые будут выцеплять идентификаторы и сравнивать с whitelist. Потом перечитаете техзадание, поймёте что ^ должно быть возведением в степень, станете заменять его на ** текстовой подстановкой, налажаете в регекспах, поправитесь. Потом захотите оператор %%% (хз что делает, но) чтоб был право-ассоциативный и по приоритету между сложением и умножением. Тут-то и придётся писать нормальный парсер, ну и стоило тогда огород городить?

В общем, зависит от постановки задачи: «вычислить кусок питона» это прямая задача для eval, «вычислить питоновское арифметическое выражение с адски урезанными возможностями и без побочных эффектов» уже так не очень, но можно втиснуть, «сделать удобный калькулятор и потом его развивать» как-то совсем не.

В учебных задачах на «сделать калькулятор» eval часто считается читерством (может и не считаться, наверное, если курс про какое-нибудь художественное гуерисованиe).

А чем так плоха функция eval() в питоне?

Это вопрос типа «почему плохо лезть руками в высоковольтный трансформатор». 🙂

Функция eval() не плоха сама по себе. Просто её очень легко использовать неправильно, и вызвать проблемы в будущем.

Потому ответ: если вы понимаете все последствия её использования, то вы можете её использовать там, где это нужно.

Если вы этого пока не понимаете ­— то поверьте на слово, вам эту функцию использовать рано.