是不是
否-除非解释器或pickle模块存在错误,否则您无法通过腌制文本或类似的东西运行任意代码。除非eval
稍后编辑腌制的文本,否则您正在做诸如使用此数据中提到的类型创建新对象的操作。
是的- 根据您以后打算使用对象中的信息做什么,用户可以做各种事情。从sql注入尝试到更改凭据,暴力破解密码或验证用户输入时应考虑的所有事项。但是您可能正在检查所有这一切。
:
python文档指出:
警告泡菜模块并非旨在防止错误或恶意构建的数据。切勿挑剔从不可信或未经身份验证的来源收到的数据。
但这不是您的情况-接受输入,通过常规验证将其输入,然后对其进行酸洗。