python - 重写 ConfigParser get() 方法以包含 eval 有什么缺点吗？

Question

我正在创建 ConfigParser 的子类，它更易于我在整个项目中使用:

class MyConfiguration(ConfigParser.ConfigParser):

    def __init__(self, filename):
        ConfigParser.ConfigParser.__init__(self)
        self.readfp(open(filename))

    def get(self, section, option):
        return eval(ConfigParser.ConfigParser.get(self, section, option))

问题:使用包含 eval 的方法覆盖 get() 方法是否有任何缺点(安全性、意外后果)？

我宁愿将 eval 烘焙到 MyConfiguration 类中，因为我想在我的配置文件中使用 Python 数据类型(元组等)，但我不想在我的项目代码中处理 eval。

Answer 1

如果您对 eval 的唯一兴趣是文字值，那么您可以使用 ast.literal_eval

这将读取元组文字、列表文字等，并且可以安全使用，因为它对接受的内容是有选择性的。

>>> import ast
>>> a = ast.literal_eval('(1, 2, 3)')
>>> a
(1, 2, 3)
>>> b = ast.literal_eval('__import__("evil")')
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "/usr/lib/python2.6/ast.py", line 68, in literal_eval
    return _convert(node_or_string)
  File "/usr/lib/python2.6/ast.py", line 67, in _convert
    raise ValueError('malformed string')
ValueError: malformed string

像这样的用例正是该函数的用途。