深入理解Python exec函数（exec函数详解与安全使用指南）

什么是 exec 函数？

exec() 是 Python 内置的一个函数，用于动态执行包含 Python 代码的字符串。它不会返回任何值（即返回 None），但会立即执行传入的代码。

基本语法

exec 函数的基本语法如下：

exec(object[, globals[, locals]])

• object：要执行的代码，可以是字符串、字节串或代码对象（code object）。
• globals（可选）：一个字典，表示全局命名空间。如果不提供，默认使用当前作用域的全局变量。
• locals（可选）：一个字典，表示局部命名空间。如果不提供，默认使用全局命名空间。

简单示例

让我们看一个最基础的例子：

code = "print('Hello, exec!')"exec(code)

运行结果：

Hello, exec!

使用 globals 和 locals 控制作用域

你也可以通过 globals 和 locals 参数限制代码的执行环境，这对于提高安全性非常重要。

# 定义全局和局部变量字典global_dict = {"__builtins__": {}}  # 禁用所有内置函数local_dict = {}code = """x = 10y = 20result = x + yprint(result)"""exec(code, global_dict, local_dict)# 查看局部变量中是否保存了 resultprint(local_dict['result'])  # 输出: 30

在这个例子中，我们通过限制 __builtins__ 来防止恶意代码调用危险的内置函数（如 open、exec 自身等），这是 exec安全使用 的关键技巧之一。

exec 与 eval 的区别

很多初学者容易混淆 exec 和 eval。它们的主要区别是：

• exec 用于执行任意 Python 语句（如赋值、循环、函数定义等），不返回值。
• eval 用于计算表达式（expression）并返回其结果，不能执行语句。

# eval 示例result = eval("3 + 5")print(result)  # 输出: 8# exec 示例exec("a = 3 + 5")print(a)  # 输出: 8

安全警告：不要随意执行用户输入！

由于 exec 可以执行任意代码，如果直接执行来自用户的输入，可能会导致严重的安全漏洞（如删除文件、窃取数据等）。因此，在实际开发中，务必对输入进行严格校验，或使用沙箱环境限制执行权限。

例如，永远不要这样做：

user_input = input("请输入代码: ")exec(user_input)  # ⚠️ 非常危险！

正确的做法是：只允许执行预定义的安全代码片段，或使用 AST（抽象语法树）解析器验证代码结构。

总结

通过本教程，你已经掌握了 Python exec函数 的基本用法、作用域控制、与 eval 的区别以及最重要的——exec安全使用 原则。记住，exec 是一把双刃剑，合理使用可以提升程序灵活性，滥用则可能导致灾难性后果。

希望这篇 exec函数详解 能帮助你更好地理解和应用这一强大工具。如果你觉得有用，欢迎分享给其他 Python 学习者！