Esistono metodi noti per la valutazione di ast.literal_eval(node_or_string) in realtà non sicuri?Python 3, Esistono falle di sicurezza conosciute in ast.literal_eval (node_or_string)?
Se sì, sono disponibili patch per loro?
(so già su PyPy [sandbox], che è presumibilmente più sicura, ma a meno che le risposte sono sì, allora no, le mie esigenze sono abbastanza minore che non andrà così lontano.)
Il documentation afferma che è sicuro e che non vi è alcun problema relativo alla sicurezza di literal_eval nel bug tracker, quindi è probabile che si possa presumere che sia sicuro.
Inoltre, according to the source, literal_eval analizza la stringa in un AST Python (albero dei sorgenti) e restituisce solo se è un valore letterale. Il codice non viene mai eseguito, solo analizzato, quindi non c'è motivo di essere un rischio per la sicurezza.
+1 La ragione per cui non ci sono più risposte qui è che non c'è bisogno di dire altro. –
Beh, è sempre difficile dimostrare che non vi è alcun rischio, ma il fatto che il codice non venga mai effettivamente eseguito dovrebbe aiutare a convincere che non c'è molto rischio. – madjar
Il rischio è lo stesso dell'utilizzo di Python stesso. –
No, ma I CBA per dimostrarlo. –