¿Cómo ejecuto una cadena que contiene código de Python en Python?

Question 1

Question 2

Para declaraciones, utilice exec(string) (Python 2/3) o exec string (Pitón 2):

>>> mycode="print "hello world""
>>> exec(mycode)
Hello world

Cuando necesite el valor de una expresión, utilice eval(string):

>>> x = eval("2+2")
>>> x
4

Sin embargo, el primer paso debe ser preguntarse si realmente es necesario. Por lo general, ejecutar código debería ser la posición de último recurso: es lento, feo y peligroso si puede contener código ingresado por el usuario. Siempre debe buscar alternativas primero, como funciones de orden superior, para ver si pueden satisfacer mejor sus necesidades.

Question 3

En el ejemplo, una cadena se ejecuta como código utilizando la función exec.

import sys
import StringIO

# create file-like string to capture output
codeOut = StringIO.StringIO()
codeErr = StringIO.StringIO()

code = """
def f(x):
    x = x + 1
    return x

print 'This is my output.'
"""

# capture output and errors
sys.stdout = codeOut
sys.stderr = codeErr

exec code

# restore stdout and stderr
sys.stdout = sys.__stdout__
sys.stderr = sys.__stderr__

print f(4)

s = codeErr.getvalue()

print "error:\n%s\n" % s

s = codeOut.getvalue()

print "output:\n%s" % s

codeOut.close()
codeErr.close()

Question 4

eval y exec son la solución correcta, y se pueden utilizar en un más seguro conducta.

Como se discutió en manual de referencia de python y claramente explicado en esta tutorial, el eval y exec Las funciones toman dos parámetros adicionales que permiten al usuario especificar qué funciones y variables globales y locales están disponibles.

Por ejemplo:

public_variable = 10

private_variable = 2

def public_function():
    return "public information"

def private_function():
    return "super sensitive information"

# make a list of safe functions
safe_list = ['public_variable', 'public_function']
safe_dict = dict([ (k, locals().get(k, None)) for k in safe_list ])
# add any needed builtins back in
safe_dict['len'] = len

>>> eval("public_variable+2", {"__builtins__" : None }, safe_dict)
12

>>> eval("private_variable+2", {"__builtins__" : None }, safe_dict)
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "<string>", line 1, in <module>
NameError: name 'private_variable' is not defined

>>> exec("print \"'%s' has %i characters\" % (public_function(), len(public_function()))", {"__builtins__" : None}, safe_dict)
'public information' has 18 characters

>>> exec("print \"'%s' has %i characters\" % (private_function(), len(private_function()))", {"__builtins__" : None}, safe_dict)
Traceback (most recent call last):
  File "<stdin>", line 1, in <module>
  File "<string>", line 1, in <module>
NameError: name 'private_function' is not defined

En esencia, está definiendo el espacio de nombres en el que se ejecutará el código.

Question 5

Recuerda que a partir de la versión 3 exec es una función!
así que siempre usa exec(mystring) en lugar de exec mystring.

Question 6

Evitar `exec` y `eval`

Utilizando `exec` y `eval` en Python está muy mal visto.

hay mejores alternativas

De la respuesta superior (énfasis mío):

Para declaraciones, utilice exec.

Cuando necesite el valor de una expresión, utilice eval.

Sin embargo, el primer paso debe ser preguntarse si realmente es necesario. Ejecutar código generalmente debe ser la posición de último recurso: Es lento, feo y peligroso si puede contener código ingresado por el usuario. Siempre debes mirar alternativas primero, como funciones de orden superiorpara ver si estos pueden satisfacer mejor sus necesidades.

¿De Alternativas a exec/eval?

establecer y obtener valores de variables con los nombres en cadenas

[while eval] funcionaría, generalmente no se recomienda usar nombres de variables que tengan un significado para el programa en sí.

En su lugar, mejor usa un dict.

no es idiomatico

Desde http://lucumr.pocoo.org/2011/2/1/exec-in-python/ (énfasis mío)

Python no es PHP

No intente eludir los modismos de Python porque algún otro idioma lo hace de manera diferente. Los espacios de nombres están en Python por una razón y solo porque te da la herramienta exec no significa que debas usar esa herramienta.

Es peligroso

Desde http://nedbatchelder.com/blog/201206/eval_really_is_dangerous.html (énfasis mío)

¡Entonces eval no es seguro, incluso si elimina todos los elementos globales y los elementos integrados!

El problema con todos estos intentos de proteger eval() es que son listas negras. Eliminan explícitamente cosas que podrían ser peligrosas. Esa es una batalla perdida porque si solo queda un elemento fuera de la lista, puede atacar el sistema.

Entonces, ¿se puede hacer eval de forma segura? Difícil de decir. En este punto, mi mejor suposición es que no puede hacer ningún daño si no puede usar guiones bajos dobles, por lo que tal vez si excluye cualquier cadena con guiones bajos dobles, esté seguro. Quizás…

Es difícil de leer y entender.

Desde http://stupidpythonideas.blogspot.it/2013/05/por-que-evalexec-es-malo.html (énfasis mío):

Primero, exec hace que sea más difícil para los seres humanos leer su código. Para averiguar qué está pasando, no solo tengo que leer su código, Tengo que leer su código, averiguar qué cadena va a generar y luego leer ese código virtual. Por lo tanto, si está trabajando en un equipo, publicando software de código abierto o pidiendo ayuda en algún lugar como StackOverflow, está dificultando que otras personas lo ayuden. Y si hay alguna posibilidad de que vaya a depurar o expandir este código dentro de 6 meses, lo está haciendo más difícil para usted directamente.

Question 7

eval() es solo para expresiones, mientras que eval('x+1') obras, eval('x=1') no funcionará por ejemplo. En ese caso, es mejor usar execo incluso mejor: intenta encontrar una mejor solución 🙂

Question 8

Usted logra ejecutar el código usando exec, como con la siguiente sesión INACTIVA:

>>> kw = {}
>>> exec( "ret = 4" ) in kw
>>> kw['ret']

4

Evitar exec y eval

Utilizando exec y eval en Python está muy mal visto.