Python eval() 函数（一文讲透）

💡一则或许对你有用的小广告

欢迎加入小哈的星球 ，你将获得：专属的项目实战 / 1v1 提问 / Java 学习路线 / 学习打卡 / 每月赠书 / 社群讨论

• 新项目:《从零手撸：仿小红书（微服务架构）》 正在持续爆肝中，基于 Spring Cloud Alibaba + Spring Boot 3.x + JDK 17...，点击查看项目介绍 ;
• 《从零手撸：前后端分离博客项目（全栈开发）》 2 期已完结，演示链接： http://116.62.199.48/ ;

截止目前， 星球 内专栏累计输出 82w+ 字，讲解图 3441+ 张，还在持续爆肝中.. 后续还会上新更多项目，目标是将 Java 领域典型的项目都整一波，如秒杀系统, 在线商城, IM 即时通讯，权限管理，Spring Cloud Alibaba 微服务等等，已有 2900+ 小伙伴加入学习 ，欢迎点击围观

前言

在 Python 编程中，eval() 函数是一个功能强大但容易被误解的工具。它允许开发者动态执行字符串形式的 Python 表达式，类似于一把“瑞士军刀”，既能解决复杂问题，也可能因误用导致安全隐患。对于编程初学者和中级开发者而言，理解 eval() 的工作原理、适用场景以及潜在风险至关重要。本文将通过案例、比喻和代码示例，系统性地解析这一函数的各个方面。

一、eval() 的基本功能与语法

1.1 基本语法

eval() 函数的语法非常简洁：

eval(expression, globals=None, locals=None)  

• expression：必须参数，表示需要执行的字符串表达式。
• globals 和 locals：可选参数，用于指定代码执行的全局和局部命名空间。

1.2 核心功能：将字符串转为可执行代码

eval() 的核心作用是将字符串解析为 Python 表达式并返回其计算结果。例如：

result = eval("3 + 5 * 2")  
print(result)  # 输出：13  

这里，字符串 "3 + 5 * 2" 被当作数学表达式执行，返回计算后的数值。

比喻：字符串的“翻译器”

可以将 eval() 想象为一个“翻译官”，它将人类可读的字符串“翻译”成 Python 能理解的代码，并直接执行。

二、eval() 的应用场景与案例

2.1 动态计算数学表达式

当需要根据用户输入或外部数据动态计算表达式时，eval() 非常有用。例如：

user_input = input("请输入一个数学表达式：")  
try:  
    result = eval(user_input)  
    print(f"计算结果：{result}")  
except Exception as e:  
    print(f"错误：{str(e)}")  

用户输入 "2**3 + 5" 时，程序将输出 13。

2.2 执行动态生成的代码片段

在自动化测试或配置解析场景中，eval() 可以执行动态生成的代码。例如：

func_call = "max([10, 20, 30])"  
result = eval(func_call)  
print(result)  # 输出：30  

2.3 解析 JSON 或配置数据

虽然 Python 标准库提供了 json 模块，但在某些简单场景下，eval() 可以快速解析类似 JSON 的字符串：

config_str = "{'name': 'Alice', 'age': 30}"  
config = eval(config_str)  
print(config["age"])  # 输出：30  

不过，此用法存在安全隐患（将在后续章节详细说明）。

三、eval() 的安全风险与防御策略

3.1 潜在风险：代码注入攻击

由于 eval() 会直接执行传入的字符串，它可能被恶意用户利用。例如：

user_input = "__import__('os').system('rm -rf /')"  # 清空文件系统的危险命令  
eval(user_input)  # 如果执行此代码将导致系统灾难  

攻击者可以通过构造恶意字符串，执行任意代码，例如删除文件、窃取数据等。

比喻：未上锁的“后门”

eval() 类似于系统中未上锁的后门，若允许未经验证的用户输入直接通过此函数执行，将导致系统暴露在攻击风险中。

3.2 安全防御：限制执行环境

通过控制 globals 和 locals 参数，可以限制 eval() 的执行权限。例如：

safe_globals = {"__builtins__": None}  # 禁用内置函数  
user_input = "print('Hello')"  
eval(user_input, safe_globals)  # 抛出异常，因 print 不可用  

此外，绝不要直接使用未经验证的用户输入，建议优先使用更安全的替代方案。

四、eval() 的替代方案与进阶技巧

4.1 ast.literal_eval()：安全解析数据

当需要解析字符串中的简单数据（如数字、列表、字典）时，ast.literal_eval() 是更安全的选择：

import ast  
unsafe_str = "{'key': 'value', 'harmless': 123}"  
safe_data = ast.literal_eval(unsafe_str)  
print(safe_data)  # 输出：{'key': 'value', 'harmless': 123}  

与 eval() 不同，ast.literal_eval() 仅解析纯数据结构，拒绝执行任意代码。

4.2 exec() 函数：执行语句块

若需要执行多行代码或语句（而非表达式），应使用 exec() 函数：

code_block = """  
def greet(name):  
    return f"Hello, {name}!"  
print(greet("Bob"))  
"""  
exec(code_block)  # 输出：Hello, Bob!  

但 exec() 同样面临与 eval() 相同的安全风险。

五、eval() 的高级用法与最佳实践

5.1 结合函数和对象动态调用

eval() 可以动态调用函数或访问对象属性：

obj = {"value": 42}  
print(eval("obj['value']"))  # 输出：42  

5.2 安全使用 eval() 的原则

• 严格验证输入：对用户输入进行白名单过滤或正则表达式校验。
• 最小权限原则：通过 globals 和 locals 限制代码执行范围。
• 优先选择替代方案：如 ast.literal_eval() 或专用解析库（如 json）。

5.3 实际案例：构建简单计算器

以下示例演示如何安全地实现一个数学表达式计算器：

def safe_eval(user_input):  
    allowed_names = {"__builtins__": None}  # 禁用所有内置函数  
    try:  
        # 仅允许数字和基本运算符  
        if re.match(r'^[\d+\-*/().\s]+$', user_input):  
            return eval(user_input, allowed_names)  
        else:  
            return "输入包含非法字符"  
    except Exception as e:  
        return str(e)  

print(safe_eval("3 * (4 + 5)"))  # 输出：27  
print(safe_eval("os.system('ls')"))  # 输出：name 'os' is not defined  

六、常见问题与解决方案

6.1 为什么 eval() 会引发 SyntaxError？

当传入的字符串不是合法 Python 表达式时，会抛出此错误。例如：

eval("x = 10")  # 抛出 SyntaxError，因赋值语句不是表达式  

解决方案：改用 exec() 执行语句。

6.2 如何避免 eval() 的性能开销？

频繁调用 eval() 可能影响性能，建议将动态代码提前编译为代码对象：

code = compile("3 + 4", "<string>", "eval")  
result = eval(code)  # 避免重复解析字符串  

结论

Python eval() 函数 是一个功能强大的工具，能够动态执行代码并解决复杂场景需求。然而，它也是一把“双刃剑”，若使用不当将导致严重的安全风险。开发者需严格遵循安全原则，优先选择更安全的替代方案，并在必要时通过限制执行环境降低风险。通过合理应用 eval()，开发者可以解锁 Python 的更多可能性，同时确保代码的健壮性和安全性。

扩展阅读

• Python 官方文档：eval() 函数
• 深入理解 ast 模块：Python 官方文档

通过本文的讲解，读者应能全面掌握 eval() 的使用场景、潜在风险及应对策略，从而在实际开发中更自信、更安全地运用这一工具。