eval()用于计算表达式并返回结果,exec()用于执行语句块且不返回值。1.eval()处理单个表达式并返回值,如数学运算或字典解析;exec()执行多行代码或语句块,如赋值、函数定义等。2.eval()会返回表达式的结果,而exec()仅执行操作无返回值。3.两者均存在安全风险,若执行不可信输入可能导致系统破坏或数据泄露,应避免处理用户输入,或限制命名空间及使用ast.literal_eval()替代。4.eval()适用于计算表达式,exec()适合动态创建函数或执行脚本。
在 python 中,eval() 和 exec() 都是用来动态执行字符串形式的代码,但它们适用的场景和功能有明显区别。简单来说,eval() 用于计算表达式并返回结果,而 exec() 用于执行语句块,不返回值。如果你只是想运行一段动态生成的代码,用 exec() 更合适;如果只是想求一个表达式的值,比如数学运算或变量替换,就用 eval()。
下面从几个角度讲清楚两者的差异和潜在风险。
1. 基本功能差异:表达式 vs 语句
-
eval() 只能处理表达式(expression),也就是说它只能执行会返回一个值的代码。例如:
result = eval("2 + 3 * 5") print(result) # 输出 17 -
exec() 能处理完整的语句块(statements),包括赋值、函数定义、循环等。例如:
立即学习“Python免费学习笔记(深入)”;
code = """ a = 10 b = 20 print(a + b) """ exec(code) # 输出 30
所以如果你要运行多行代码或者修改变量状态,只能用 exec()。
2. 返回值的区别:有没有结果
-
eval() 会返回表达式的结果。例如:
value = eval("{'name': 'Tom', 'age': 25}") print(type(value)) # <class 'dict'> -
exec() 不返回值(返回的是 None),它的作用是“做事情”,而不是“算结果”。比如你可以用它来定义函数:
exec("def say_hello(): print('Hello!')") say_hello() # 输出 Hello!
3. 安全风险:不要轻易执行不可信输入
这两个函数最大的问题就是——它们可以执行任意代码。如果用户输入的内容被当作参数传给 eval() 或 exec(),那就可能带来严重的安全隐患。
常见风险举例:
-
删除文件、修改系统设置等破坏性操作:
# 想象用户输入了这样的字符串 user_input = "__import__('os').system('rm -rf /')" # 如果你用了 eval 或 exec 执行这个字符串……后果严重 -
获取敏感信息、泄露数据:
# 用户构造输入读取密码变量 user_input = "password"
如何降低风险?
-
尽量避免使用 eval() 和 exec() 处理用户输入。
-
如果一定要用,限制命名空间,禁用内置模块:
safe_globals = {"__builtins__": None} # 禁用所有内置函数 exec("print('hello')", safe_globals) # 会报错,无法执行 -
使用更安全的替代方案,比如 ast.literal_eval() 来解析字符串中的字面量(如列表、字典):
import ast data = ast.literal_eval("{'name': 'Tom', 'age': 25}") print(data) # 安全地转为 dict
4. 什么时候该用哪个?常见使用场景
| 场景 | 推荐使用 | 说明 |
|---|---|---|
| 计算数学表达式 | eval() | 比如计算器程序解析输入 |
| 解析字符串成结构化数据 | ast.literal_eval() | 比如解析 json 字符串 |
| 动态创建函数或类 | exec() | 运行时根据配置生成逻辑 |
| 执行用户自定义脚本 | exec() | 但要注意权限控制 |
基本上就这些。eval() 和 exec() 都很强大,但也容易出问题。用的时候要清楚自己在干什么,尤其是面对外部输入时,千万不能掉以轻心。
