Python中文网 - 问答频道, 解决您学习工作中的Python难题和Bug
Python常见问题
我目前正在用python开发一个小项目,使用一个名为“pybtsync”的API层,它为BTSync提供了直接的python访问。我试图通过查看它的源代码来熟悉它,我发现:
def _request_function(self, method_name, arguments='', key=None):
URL = 'http://' + self._address + ':' + self._port +'/api?method=' + method_name + '&' + arguments
request = requests.get(URL, auth=(self._login, self._password))
request_data = eval(request.text)
if key is not None:
return request_data[key]
return request_data
我知道BTsync的API以json格式返回。那为什么不是json.load文件(请求.text)不够?我发现在这里使用eval()有一个潜在的安全问题。有什么理由我不明白吗?你知道吗
pybtsync的全部代码可以在这里找到: https://github.com/tiagomacarios/pybtsync/blob/master/pybtsync/pybtsync.py#L239
有关BTSync api的更多上下文: http://www.bittorrent.com/sync/developers/api
Tags: keynameselfnoneapihttpurldata
热门问题
- 如何添加虚拟方法
- 如何添加表示整数的擦边字符串?
- 如何添加要在Bokeh中使用的新font.ttf文件?
- 如何添加要显示的矩阵XY轴编号和XY轴
- 如何添加计数?
- 如何添加计数器函数?
- 如何添加计数器列来计算数据帧中另一列中的特定值?
- 如何添加计数器来跟踪while循环中的月份和年份?
- 如何添加计数并删除countplot的顶部和右侧脊椎?
- 如何添加计时器wx.应用程序更新窗口对象的主循环?
- 如何添加评论到帖子?PostDetailVew,Django 2.1.5
- 如何添加评论拉梅尔亚姆
- 如何添加诸如矩阵Python/Pandas之类的数据帧?
- 如何添加谷歌地点自动完成到Flask?
- 如何添加超时、python discord bot
- 如何添加超过1dp的检查
- 如何添加距离方法
- 如何添加跟随游戏的敌人精灵
- 如何添加路径以便python可以找到程序?
- 如何添加身份验证/安全性以使用happybase访问HBase?
热门文章
- Python覆盖写入文件
- 怎样创建一个 Python 列表?
- Python3 List append()方法使用
- 派森语言
- Python List pop()方法
- Python Django Web典型模块开发实战
- Python input() 函数
- Python3 列表(list) clear()方法
- Python游戏编程入门
- 如何创建一个空的set?
- python如何定义(创建)一个字符串
- Python标准库 [The Python Standard Library by Ex
- Python网络数据爬取及分析从入门到精通(分析篇)
- Python3 for 循环语句
- Python List insert() 方法
- Python 字典(Dictionary) update()方法
- Python编程无师自通 专业程序员的养成
- Python3 List count()方法
- Python 网络爬虫实战 [Web Crawler With Python]
- Python Cookbook(第2版)中文版
是的,这是一个安全问题;如果我可以更改您的代码使用的DNS服务器或使用中间人服务器,那么我可以向您发送任意Python代码。你知道吗
如果API被更新为包含JSON
null或布尔值,那么对于常规JSON响应,eval()调用也会失败。你知道吗代码应该改为调用
request.json()。你知道吗解释语言中的eval是指在目标文本上调用解释器本身,即试图将文本作为程序进行解析和执行。你知道吗
在您的例子中,结果是json格式的“string”,而不是json对象,对其调用eval将解析字符串,从而为您提供一个对象,json.load文件将返回unicode字符串,而eval不会
相关问题 更多 >
编程相关推荐