Python exec 与 eval 禁用方法详解

Python 中的 `exec` 和 `eval` 在生产环境中形同“开后门”，因其直接执行任意字符串代码，绕过语法检查、作用域限制和静态分析，极易引发远程代码执行等高危漏洞——真实攻击常隐匿于日志模板、配置解析或低代码引擎中，而非显眼的 `eval("rm -rf /")`；它们不仅安全风险极高，还带来10–100倍的性能损耗，且无法被优化；本文深入剖析其危险本质，明确推荐 `ast.literal_eval` 处理可信字面量，并强调：真正安全的替代方案是白名单驱动的表达式解析（如结合 `operator` 模块），而非正则过滤或禁用 `__import__` 等无效手段；同时提供从 CI 代码扫描、运行时内置函数拦截到进程级沙箱隔离的全链路禁用与兜底策略——当动态执行无法避免时，唯一可靠底线是跨进程、跨用户、跨命名空间的强隔离，而非在 Python 解释器内徒劳加固。

为什么 exec 和 eval 在生产环境基本等于“开后门”

因为它们会把字符串当作 Python 代码直接执行，绕过所有语法检查、作用域约束和静态分析。哪怕只传入一个用户可控的字段（比如 URL 参数、表单输入），攻击者就能执行任意代码——删库、读文件、反弹 shell 都是分分钟的事。

常见错误现象：eval("os.system('rm -rf /')") 看似荒谬，但真实漏洞往往藏在更隐蔽的地方，比如拼接日志模板、动态配置解析、低代码表达式引擎里。

• 使用场景：几乎全是“想省事”的地方——做简易计算器、临时调试、配置项动态求值、规则引擎 PoC
• 参数差异：eval 只能执行表达式（返回值），exec 能执行语句（定义函数、import、赋值），危险性更高
• 性能影响：每次调用都要触发 Python 解析器，比普通函数调用慢 10–100 倍，且无法被 JIT 或缓存优化

替代 eval 的安全方案：从 ast.literal_eval 到白名单字典

ast.literal_eval 是唯一被官方推荐用于“可信字符串转结构”的函数，它只允许 list、dict、str、int、float、bool、None 这几种字面量，连元组都不行（(1,2) 会报 ValueError）。

但如果业务真需要“计算”，比如规则引擎里的 "age > 18 and status == 'active'"，就得自己写白名单解析器，而不是放任 eval。

• 不要用 json.loads() 替代 ast.literal_eval()：JSON 不支持单引号、True/False 小写、注释，容易因格式错报错
• 别试图用正则“过滤危险关键词”：re.sub(r'(os|subprocess|__)', '', s) 完全无效，绕过方式太多（getattr(__import__('os'), 'system')）
• 真正安全的做法是：把可计算字段、操作符、常量全部硬编码进白名单字典，再用 operator 模块执行，例如 operator.gt(user.age, 18)

禁用 exec 的落地手段：从 CI 检查到运行时拦截

光靠开发自觉没用。必须让 exec（以及 compile + exec 组合）在代码提交或启动阶段就失败。

CI 层面最简单有效的是用 grep 或 pygrep 扫描：

grep -r "exec(" --include="*.py" . | grep -v "test_"

更进一步，可以用 ast 模块写个检查脚本，识别所有 exec 调用点并打印上下文行号。

• 运行时拦截：在应用启动时重置内置函数，builtins.exec = lambda *a, **kw: _raise(RuntimeError("exec disabled"))，但注意某些库（如 IPython、Jinja2）内部会用，得排除路径
• 别漏掉等价写法：exec(compile(...))、eval(compile(...), ..., ...)、getattr(builtins, 'exec') 都得一并封禁
• Docker 镜像构建时加 sed -i '/exec(/d' *.py 是自欺欺人，改源码不如改流程

当真绕不开动态执行时：沙箱不是万能的，隔离才是底线

如果业务强依赖动态代码（如插件系统、在线编程题库），别碰 exec，直接上进程级隔离。

用 subprocess.run 启一个最小权限子进程，限定 CPU/内存/超时，并通过 stdin/stdout 通信。Python 自带的 RestrictedPython 库早已停止维护，而 pysandbox 类项目实际防护能力极弱，还拖慢性能。

• 别信“禁用 __import__ 就安全”：攻击者可用 importlib.import_module、getattr(sys.modules, '__builtin__') 绕过
• 别在容器里跑不受信代码还挂载宿主目录：即使用了 seccomp，内核漏洞和 side channel 依然存在风险
• 最简隔离方案：每个用户代码用独立 docker run --rm --memory=64m --cpus=0.1 --network=none 执行，输出仅限 JSON

复杂点在于通信协议设计和超时处理，而不是怎么让 exec 更“安全”。只要代码来源不可控，执行本身就必须跨进程、跨用户、跨命名空间。

今天关于《Python exec 与 eval 禁用方法详解》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！