Dovolim si oponovat. Vsetko co sa da v pythone v exec spravit pre narusenie bezpecnosti sa da spravit aj v eval.

Proti importom, builtin namespace atd sa daju zabezpecit obe. Nekonecny cyklus, nekonecna rekurzia, vsetko sa da spravit aj v eval aj v exec.

Jediny rozdiel je v tom, ze jeden vykonava vyrazy a jeden prikazy.

Jan Janech

On 05/05/10 11:49, Hynek Fabian wrote:
Jirka Vejrazka (středa 05 Květen 2010 10:33:39):
   Mrkni se, jestli to nepujde parsovat pres JSON. Evil je zlo, hojne
pouzivane v JS a PHP, v Pythonu jsem ho (nastesti) snad nikdy nevidel.
Dělám to nerad, ale musím se evalu zastat. Narozdíl od PHP v pythonu eval()
nesežere libovolný kód, ale pouze vyhodnotí výraz. A když se mu podstrčí
nedefaultní jmenné prostory, měl by být dostatečně izolovaný.

"Zlo" se v pythonu jmenuje exec() :-)
_______________________________________________
Python mailing list
Python@py.cz
http://www.py.cz/mailman/listinfo/python





--

____________________________
Ing. Jan Janech
Katedra softverovych technologii
Fakulta riadenia a informatiky
Zilinska Univerzita
_______________________________________________
Python mailing list
Python@py.cz
http://www.py.cz/mailman/listinfo/python

Odpovedet emailem