gpt4 book ai didi

python - 在 Python 中对用户提供的字符串运行 .format() 是否安全/可靠?

转载 作者:行者123 更新时间:2023-12-03 19:08:28 29 4
gpt4 key购买 nike

场景:最终用户(不受信任的)提供了一个字符串,例如 "Hello, {name}!" .在服务器上,我想以 my_string.format(name="Homer") 的形式对该用户提供的字符串进行字符串替换。 .在 Python 中使用字符串格式化可以做很多事情,所以我想知道运行 format() 是否存在安全问题。不受信任的字符串上的方法。是否可以提供一个字符串值,当使用 Python 的字符串替换时,它会更改字符串内容本身之外的数据?

最佳答案

字符串格式是安全的,没有副作用。它不会改变该字符串之外的任何内容。
它仍然可能是一个安全问题,具体取决于您稍后对该字符串的处理方式。最明显的例子是对 SQL 语句使用字符串格式;这是非常不安全的。

关于python - 在 Python 中对用户提供的字符串运行 .format() 是否安全/可靠?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62952543/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com