极客观点
项目管理
HarmonyOS
- 比如用
eval()执行用户自己的动态代码,用户可能会使用os.system('rm -rf /')等恶意命令破坏服务器 - 除了用docker还有没有其他方式?(因为用户自定义动态代码需要用到当前后端项目本身的内容,所以在单独docker环境执行用户代码也不合适)
Python动态执行代码怎么防止用户恶意破坏服务器
python阅读 2.2k
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
小网站有必要将图片放到阿里云OSS存储吗?
网站有涉及到图片的请求,买了阿里云服务,我想将图片放在云服务上的某个目录下,然后通过nginx代理请求图片资源,不知道这么做是否可行?还是说需要将图片放在OSS上存储,但是OSS需要收费?哪个方案更好一些?15 回答8.4k 阅读
求救,我现在想批量给500多台线上linux服务器下发脚本有什么好用的图形化工具推荐嘛?
一台一台执行太慢了,有什么工具推荐,后期可能要经常批量推送。7 回答5.3k 阅读
Qt中布局是否只有5种呢?
我们经常看到的Qt的布局有:5种(都是继承自QLayout) {代码...} 但是我在官方文档有看到其他的Layout相关命名,例如:QPageLayoutQTextLayout等等请问这些是用于布局的吗?还是说Qt中布局就只有5种呢?4 回答4.4k 阅读✓ 已解决
为什么在 aws 新开 ec2 机器不显示价格?
我选了一个 72core 192 GB 的 ec2 机器,居然都不显示价格,这我怎么敢「启动实例」aws 怎么看价格呢?4 回答4k 阅读
这段代码为什么不能获取到数据?
{代码...}4 回答3.8k 阅读✓ 已解决
linux 如何在执行一段命令前执行一个自定义脚本?
例如一般情况下输入 ls 会列出当前目录下的文件,有什么方法可以在列出这些文件前先执行一段自定义的脚本,如果脚本执行成功才列出这些文件2 回答5.9k 阅读✓ 已解决
字节的 trae AI IDE 不支持类似 vscode 的 ssh remote 远程开发怎么办?
尝试一下字节的 trae AI IDE ([链接])安装后导入 vscode 的配置,好像一起把 vscode 的插件也导入了也能看到 vscode 之前配置的 ssh remote 但是连不上看到「输出」如下⬇️ {代码...}1 回答3k 阅读✓ 已解决
Python 的 eval 支持你传入 locals/global ,你可以通过控制全局空间里可用的对象(比如自定义
__builtin__)来限制用户代码在eval里能做的事情。对于比较简单的需求(比如说允许用户调几个模块,其他都不允许访问),传必要的模块进去应该够了。
对于复杂的需求,用户代码自由度比较高,但有些比较敏感的操作不允许做的话,就得自己定制下了,可以看看GitHub上开源的沙盒,比如pysandbox。