脚本之家 服务器常用软件
快捷导航
您的位置:首页脚本专栏python → Python之eval()函数危险性浅析

Python之eval()函数危险性浅析

 更新时间:2014年07月03日 16:26:58   投稿:shichen2014  
这篇文章主要介绍了Python之eval()函数危险性浅析,需要的朋友可以参考下

一般来说Python的eval()函数可以把字符串“123”变成数字类型的123,但是PP3E上说它很危险,还可以执行其他命令!

对此进行一些试验。果然,如果python写的cgi程序中如果使用eval()而非int()来转换诸如年龄这样的输入框中的内容时是非常危险的。不仅可以看见列出系统的全部文件,还可以执行删除文件,察看文件源代码等危险操作!

试着写了个程序,想把本地的脚本文件同过这样的形式一行一行的写到服务器的某个文件里,可最后失败在无法输入换行符"/n",在提交的语句里只要有换行符,就会出现EOL的出错提示,换了编码方式还是没能成功。
 
网页里有一个提交名字的窗口,这里只是以改它为例,否则名字是不会用eval函数转换的,不过年龄到是很容易出问题。这个文件(http://localhost/tutor4.html)导入了os。

line1 = "Hello, %s." % eval(form['user'].value)

(1)

os.system('del * /q') #删除当前目录下所有文件(不包括文件夹)。

os.system调用当前系统的命令(如windows)

/q
指定强制状态。不提示您确认删除。

(2)若删除文件夹,使用rmdir

/s
删除指定目录和所有子目录以及包含的所有文件。使用 /s 来删除目录树。

/q
在安静模式中运行 rmdir。不经确认即删除目录。

os.system('rmdir d:/workspace /s/q')

(3)列出所有文件os.system('dir')。因为成功执行了dir命令后,系统返回0,所以看到的返回内容只能是Hello,0.而在服务器上,倒是真的列出来了,如果有日志,可能被发现。提交os.system('dir >dir.txt'),那么访问http://localhost/dir.txt那么所有的文件和文件夹都暴露了,想看源代码吗?如果再使用os.system('type target.py').命令如果成功完成同样会返回Hello, 0.的。难道再放进一个文件,再访问那个文件吗?open('target.py').read()

由此,可以在列出和察看其他文件夹里面的内容了。

如果没干别的坏事,那么可删除dir.txt以免被人发现了。os.system('del dir.txt /q')

导入os并执行命令:

__import__('os').system('dir >dir.txt')
您可能感兴趣的文章:

相关文章

  • 如何使用python docx模块操作word文档

    如何使用python docx模块操作word文档

    这篇文章主要介绍了如何使用python docx模块操作word文档,文章围绕主题展开详细的内容介绍,具有一定的参考价值,需要的小伙伴可以参考一下
    2022-09-09
  • 基于Python绘制3D立体爱心图案的示例详解

    基于Python绘制3D立体爱心图案的示例详解

    这篇文章主要为大家详细介绍了利用Python实现绘制3D立体爱心图案的四种不同方法,文中的示例代码讲解详细,感兴趣的小伙伴可以动手尝试一下
    2022-11-11
  • django自带调试服务器的使用详解

    django自带调试服务器的使用详解

    今天小编就为大家分享一篇django自带调试服务器的使用详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2019-08-08
  • python使用openpyxl库处理Excel文件详细教程

    python使用openpyxl库处理Excel文件详细教程

    这篇文章主要给大家介绍了关于python使用openpyxl库处理Excel文件详细教程的相关资料,openpyxl属于第三方模块,在python中用来处理excel文件,可以对excel进行的操作有读写、修改、调整样式及插入图片等,需要的朋友可以参考下
    2023-11-11
  • python中的多重继承实例讲解

    python中的多重继承实例讲解

    这篇文章主要介绍了python中的多重继承实例讲解,本文着重讲解寻找父类的顺序,分为经典类和新式类,需要的朋友可以参考下
    2014-09-09
  • Matplotlib控制坐标轴刻度间距与标签实例代码

    Matplotlib控制坐标轴刻度间距与标签实例代码

    在matplotlib中,记号是图形两个轴上的小标记,到目前为止,我们让matplotlib处理轴图例上记号的位置,下面这篇文章主要给大家介绍了关于Matplotlib控制坐标轴刻度间距与标签的相关资料,需要的朋友可以参考下
    2021-10-10
  • PyTorch数据读取的实现示例

    PyTorch数据读取的实现示例

    这篇文章主要介绍了PyTorch数据读取的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2021-03-03
  • django admin 根据choice字段选择的不同来显示不同的页面方式

    django admin 根据choice字段选择的不同来显示不同的页面方式

    这篇文章主要介绍了django admin 根据choice字段选择的不同来显示不同的页面方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2020-05-05
  • 基于python 凸包问题的解决

    基于python 凸包问题的解决

    这篇文章主要介绍了基于python 凸包问题的解决方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2020-04-04
  • Python实现GIF动图以及视频卡通化详解

    Python实现GIF动图以及视频卡通化详解

    本文主要介绍了如何使用Python中的animegan2-pytorch实现动图以及视频的卡通化效果,文中的代码具有一定的学习价值,需要的朋友可以参考一下
    2021-12-12

最新评论