Будет ли подобное использование eval безопасным?

Question

[AveWycc]

У меня есть реализация Set отдельным модулем set.py и в нем есть преобразование введенного в консоли значения, преобразование на тот тип, который я ввел первоначально.
Сама проверка:

def _conversion(self, val):
        """ Convert value in needed type """
        try:
            return eval(self.__set_type)(val)
        except ValueError:
            print("ValueError: Wrong input")
            return None

Если я в самом начале в main.py при помощи if ограничу ввод набором из 'int' 'float' и т.д., то можно ли считать eval теперь безопасным?

Answer 1

[Сергей П]

такой eval нельзя использовать лишь потому, что это небезопасно. Фактически, если использование eval не усугубит ситуацию, то почему бы не использовать.
Довольно сумасшедшая идея ходить с открытой раной по улице. Но в защищенной среде в больнице между перевязками - это штатная ситуация, хотя и не отменяет необходимости быть осторожным.

Оголённые провода в жилом помещении - это недопустимо, но в фазные шины с правильной маркировкой в электрощитовой, наверно, допустимы.
Это касается не только eval.
Однажды я слышал от студента примерно следующие рассуждения, когда ему требовалось написать простейший калькулятор:

eval использовать нельзя (небезопасно), поэтому я пользовательский ввод записываю в питоновский файл и этот файл импортирую как модуль...

Comments

[AveWycc]

Спасибо за объяснение.

[Сергей П]

AveWycc, В вашем, кстати, случае я бы лучше явно описал словарь с допустимыми типами в ключах, а в значениях сами типы. Это позволит вам и алиасы сделать и явно прозрачно задекларировать в коде что происходит.

[Roman K]

Сергей Паньков, вы полностью правы. Однако, за 6 лет коммерческой разработки на питоне, мне ни разу не понадобился ни eval, ни exec. Поэтому, подозреваю, что автор просто криво решает свою проблему.

[Сергей П]

Roman Kitaev, именно это я и хотел донести.

[AveWycc]

Сергей Паньков, Если вам интересно, то сделал, как вы сказали, конкретно проверку типа данных. А преобразование через literal_eval

[Сергей П]

AveWycc, а для чего literal_eval тогда, если там простые типы и достаточно словаря было?

[AveWycc]

Сергей Паньков, Да, можно было и без него обойтись, просто написать TYPES[self.__set_type](val) в try:
Учту в следующий раз, а то так я никогда не закончу писать.

Answer 2

[Andrey Dugin]

Используйте безопасный eval:
from ast import literal_eval as eval

Comments

[AveWycc]

Я знаю, про безопасный аналог, просто хочу на будущее узнать конкретно об eval. А то "никогда не используйте" для меня непонятно, ведь не просто так его оставляют в языке.