Так ли плохо решение проблемы «сделать калькулятор» через eval?

Question

[Дмитрий]

Пишу простенького телеграмм бота ( конвертер / калькулятор), как новичок нашел для себя очевидный подход в решении проблемы "сделать калькулятор" через eval. Ознакомился с тем, почему это плохой подход и почему его использовать не желательно, но вопрос: Если в eval попадают данные только через фильтры, затем собираются через f""строку и только после соответствия всем условиям попадают в eval, разве это плохой подход и существуют ли в данном случае какие-либо уязвимости ?

Answer 1

[Василий Банников]

Если в eval попадают данные только через фильтры, затем собираются через f""строку и только после соответствия всем условиям попадают в eval, разве это плохой подход и существуют ли в данном случае какие-либо уязвимости ?

Ну если ты точно можешь гарантировать, какие данные в итоге попадут в eval, то в целом ничего плохого.
Проблема только в том, что гарантировать ты этого не сможешь.

Так что всё-таки лучше взять уже готовое решение этой проблемы:
https://stackoverflow.com/questions/2371436/evalua...

PS: код следует прикреплять в виде текста, а не картинки

Comments

[Дмитрий]

насчет картинки учту, насчет готового решения пока ничего там не понял, но буду копаться, спасибо )

[Василий Банников]

Дмитрий, в первом же ответе на SO отличный вариант, который парсит выражение, и проверяет, что в нём нет ничего опасного:

import ast
import operator as op

# supported operators
operators = {ast.Add: op.add, ast.Sub: op.sub, ast.Mult: op.mul,
             ast.Div: op.truediv, ast.Pow: op.pow, ast.BitXor: op.xor,
             ast.USub: op.neg}

def eval_expr(expr):
    """
    >>> eval_expr('2^6')
    4
    >>> eval_expr('2**6')
    64
    >>> eval_expr('1 + 2*3**(4^5) / (6 + -7)')
    -5.0
    """
    return eval_(ast.parse(expr, mode='eval').body)

def eval_(node):
    if isinstance(node, ast.Num): # <number>
        return node.n
    elif isinstance(node, ast.BinOp): # <left> <operator> <right>
        return operators[type(node.op)](eval_(node.left), eval_(node.right))
    elif isinstance(node, ast.UnaryOp): # <operator> <operand> e.g., -1
        return operators[type(node.op)](eval_(node.operand))
    else:
        raise TypeError(node)

[Дмитрий]

Василий Банников, я его и взял) все работает