Python 如何避免注入恶意代码?

2018-06-06 14:56:55 +08:00
 swt1993
我有一个项目,需要接收 python 脚本,这些脚本都是字符串,我会对这些字符串进行编译然后执行。这是前提也是基础必要,如果在这种前提下,如何避免脚本中出现的恶意代码,例如写 while 死循环,创建文件,创建进程线程,或者通过 os,sys 模块调用系统功能?或者如何实现对脚本的检测,或者将整个编译过程放置一个沙盒中运行?有没有朋友可以提供些有用建议,万分感谢
2504 次点击
所在节点    Python
6 条回复
hahastudio
2018-06-06 15:18:36 +08:00
静态检查 https://github.com/PyCQA/bandit
至于沙箱的话,看看这个 https://wiki.python.org/moin/SandboxedPython
PyPy 自带沙箱 http://doc.pypy.org/en/latest/sandbox.html
swt1993
2018-06-06 15:48:36 +08:00
@hahastudio 感谢
HypoChen
2018-06-06 16:06:07 +08:00
可以使用扔到 docker 里执行,然后 wait 一个超时时间
docker-py 很调几个 api 就能实现
HypoChen
2018-06-06 16:06:29 +08:00
@HypoChen fix 很调 /调用
Greatshu
2018-06-06 16:19:30 +08:00
OJ ?
ybping
2018-06-07 08:05:43 +08:00
@Greatshu OJ +1

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/460886

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX