1

我想找出使用exec​​进口的缺点。其中一个文件用作特定功能的实际实现的接口,具体取决于所选项目(框架旨在用于多个项目)。

第一个用例是这样的:

exec ("from API.%s.specific_API_%s import *" % (project, project))

project这样,除了在接口模块本身中注入的变量之外,我不必对任何东西进行硬编码。

这是另一种方式:

if project == 'project_one':
    from API.project_one.specific_API_project_one import *
elif project == 'project_two':
    from API.project_two.specific_API_project_two import *
elif project == 'project_three':
    from API.project_three.specific_API_project_three import *

这样,每次添加新项目以支持时,我都必须更改此接口文件。

4

1 回答 1

2
  1. 如果您需要以编程方式导入模块,请使用importlibor __import__(对于非常具体的情况)。原因 - 不要重新发明轮子,没有exec. 如果你的project变量来自外部世界,exec这是一个巨大的安全问题。
  2. 通配符导入被认为是不好的做法——之后维护代码库变得更加困难。

exec通过执行任意代码的问题的过度简化示例:

module = 'request'
func = 'urlopen'
exec("from urllib.%s import %s" % (module, func))

func = 'urlopen; print("hello python")'
exec("from urllib.%s import %s" % (module, func))

是的,你的例子更难伪造,但问题仍然存在——让 python 执行任意代码是多余的(有潜在的安全漏洞),当你有完全为你的目的而构建的工具时——以编程方式导入模块。

于 2019-02-12T09:13:41.370 回答