Python读写YAML配置文件应使用PyYAML库,推荐用yaml.safe_load()安全读取、yaml.dump()配合default_flow_style=False等参数规范写入,并注意避免自动类型转换、注入风险及编码问题。
Python 中读写 YAML 配置文件,核心靠 PyYAML 库。它轻量、易用、支持主流 YAML 语法,是配置管理的常用选择。关键在于正确安装、安全加载、规范写入,避免常见坑(比如自动类型转换、注入风险)。
安装与基础读取(load)
先用 pip 安装:
pip install pyyaml
读取 YAML 文件推荐使用 yaml.safe_load(),它只解析安全的 YAML 标签(不执行任意代码),适合配置场景:
立即学习“Python免费学习笔记(深入)”;
- 传入打开的文件对象(推荐用 with 自动关闭)
- 返回 Python 原生数据结构:字典、列表、字符串、数字、布尔、None
- 若文件格式错误,会抛出
yaml.YAMLError,建议加 try/except
示例:
import yaml
with open("config.yaml", "r", encoding="utf-8") as f:
data = yaml.safe_load(f)
print(data["database"]["host"]) # 如输出 'localhost'
安全写入(dump)与格式控制
用 yaml.dump() 将 Python 数据写入 YAML 文件。默认输出可能缩进混乱、带引号或省略空行,可通过参数优化可读性:
-
default_flow_style=False:禁用内联格式,强制块状结构(更易读) -
allow_unicode=True:保留中文等非 ASCII 字符,不转义 -
indent=2:设置缩进空格数(默认为 2,可显式指定) -
sort_keys=False:保持字典原有键序(Python 3.7+ 默认有序,但显式设为 False 更稳妥)
示例:
with open("config.yaml", "w", encoding="utf-8") as f:
yaml.dump(data, f, default_flow_style=False, allow_unicode=True, indent=2, sort_keys=False)
处理常见配置需求
实际项目中常遇到几类典型情况:
-
环境区分:用不同 YAML 文件(如
dev.yaml/prod.yaml),或在单文件中用锚点(&common)和引用(*common)复用配置 -
敏感信息保护:不要把密码、密钥直接写进 YAML;可用占位符(如
password: ${DB_PASSWORD}),再结合os.getenv()运行时替换 -
注释保留?:PyYAML 原生不支持读写注释(解析时丢弃)。如需维护注释,可考虑
ruamel.yaml替代(功能更强,但依赖稍重)
避坑提醒
几个高频问题需注意:
- 别用
yaml.load()(无 safe 版本)——存在反序列化漏洞,尤其加载不受信内容时 - YAML 中
yes/no/on/off会被自动转成布尔值,如需字符串,请加单/双引号:status: "on" - 文件编码务必统一(推荐 UTF-8),否则中文可能乱码;open 时显式声明
encoding="utf-8" - 嵌套层级过深或含特殊字符(如冒号后紧跟空格)容易解析失败,建议用在线 YAML 校验器(如 yamlchecker.com)预检
