0

0

Python pickle 的安全替代方案

舞夢輝影

舞夢輝影

发布时间:2026-02-19 17:13:02

|

271人浏览过

|

来源于php中文网

原创

不能直接用 pickle 反序列化不可信数据,因为 pickle.load() 会执行任意代码而非仅解析数据,可能触发恶意操作;应改用 json + 显式构造或 pydantic/marshmallow 等安全方案。

python pickle 的安全替代方案

为什么不能直接用 pickle 反序列化不可信数据

因为 pickleload() 时会执行任意代码,不是“解析数据”,而是“重建对象+运行构造逻辑”。收到一个恶意的 pickle 字节串,可能直接删文件、起反向 shell、读取环境变量。

常见错误现象:os.system("rm -rf /") 这类调用藏在自定义类的 __reduce__ 方法里,pickle.load() 一跑就触发;或者用 builtins.exec 注入执行。

使用场景:只要数据来源不完全可控(比如网络请求、用户上传、跨服务通信),就不能用 pickle 做反序列化。

推荐替代方案:优先选 json + 显式构造

json 安全,但只支持基础类型(dictliststrintfloatboolNone),不支持自定义类、函数、datetime 等。所以得自己写转换逻辑。

立即学习Python免费学习笔记(深入)”;

实操建议:

  • 把对象转成 dictjson.dumps(),比如加一个 to_dict() 方法
  • 反序列化时,先 json.loads(),再手动用字典内容初始化对象(别用 eval__dict__.update()
  • 对关键字段做类型检查和范围校验,比如 if not isinstance(data.get("id"), int): raise ValueError
  • 如果需要时间字段,统一用 ISO 格式字符串:dt.isoformat(),反序列化时用 datetime.fromisoformat()

示例:

ShoopD 网上商店系统
ShoopD 网上商店系统

用 php + mysql 驱动的在线商城系统,我们的目标为中国的中小企业及个人提供最简洁,最安全,最高效的在线商城解决方案,使用了自建的会员积分折扣功能,不同的会员组有不同的折扣,让您的商店吸引更多的后续客户。 系统自动加分处理功能,自动处理会员等级,免去人工处理的工作量,让您的商店运作起来更方便省事 采用了自建的直接模板技术,免去了模板解析时间,提高了代码利用效率 独立开发的购物车系统,使用最

下载
class User:
    def __init__(self, name: str, age: int):
        self.name = name
        self.age = age
<pre class='brush:python;toolbar:false;'>def to_dict(self) -> dict:
    return {"name": self.name, "age": self.age}

@classmethod
def from_dict(cls, data: dict):
    return cls(name=data["name"], age=int(data["age"]))  # 显式类型转换

需要结构化 + 类型安全?用 dataclasses + marshmallowpydantic

当对象字段多、有嵌套、要校验、还要生成文档时,手写 to_dict 很容易漏字段或类型错位。这时候上结构化方案更稳。

性能与兼容性影响:

  • pydantic v2BaseModel)默认用 C 加速,解析比纯 json + 手动构造略慢 10–20%,但开发效率和安全性提升明显
  • marshmallow 更轻量,无额外依赖,适合只做校验不需运行时类型提示的场景
  • 注意 pydanticmodel_validate_json() 能直接从 JSON 字符串构建实例,但必须确保输入是合法 JSON —— 它不处理 pickle 字节流

容易踩的坑:

  • model_dump_json() 序列化后,又用 json.loads() 再传给 model_validate():多此一举,直接用 model_validate_json()
  • 字段名含下划线但前端传的是驼峰(如 user_name vs userName),没配 aliasalias_generator,导致字段丢失
  • datetime 直接塞进 BaseModel 字段却不设 default_factorydefault,实例化时报 TypeError: datetime.datetime(...) is not JSON serializable

临时兼容老 pickle 数据?别硬解,做迁移层

线上已有大量 pickle 文件或缓存,不能立刻全切走?不要尝试用 RestrictedUnpickler 或白名单绕过风险——它本质还是在执行未知逻辑,维护成本高、易被绕过。

正确做法是加一层迁移:

  • 新服务启动时,检测到旧格式(比如文件头是 b'\x80\x04'),就用隔离环境(如子进程 + timeout + seccomp)跑一次 pickle.load(),仅提取原始字段,转成 JSON 存新路径
  • 同时记录日志:哪个 key、什么类型、是否含可疑模块(如 ossubprocess),便于审计
  • 后续所有读操作只认新格式,旧路径只读、不写、限期下线

复杂点在于:有些老 pickle 依赖已删的模块或类名,这时得在隔离环境里动态 patch sys.modules,但只允许导入内置模块和白名单里的几个工具类——这步很容易漏权限控制,务必限制子进程能访问的文件路径和系统调用。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
json数据格式
json数据格式

JSON是一种轻量级的数据交换格式。本专题为大家带来json数据格式相关文章,帮助大家解决问题。

442

2023.08.07

json是什么
json是什么

JSON是一种轻量级的数据交换格式,具有简洁、易读、跨平台和语言的特点,JSON数据是通过键值对的方式进行组织,其中键是字符串,值可以是字符串、数值、布尔值、数组、对象或者null,在Web开发、数据交换和配置文件等方面得到广泛应用。本专题为大家提供json相关的文章、下载、课程内容,供大家免费下载体验。

544

2023.08.23

jquery怎么操作json
jquery怎么操作json

操作的方法有:1、“$.parseJSON(jsonString)”2、“$.getJSON(url, data, success)”;3、“$.each(obj, callback)”;4、“$.ajax()”。更多jquery怎么操作json的详细内容,可以访问本专题下面的文章。

322

2023.10.13

go语言处理json数据方法
go语言处理json数据方法

本专题整合了go语言中处理json数据方法,阅读专题下面的文章了解更多详细内容。

81

2025.09.10

css中float用法
css中float用法

css中float属性允许元素脱离文档流并沿其父元素边缘排列,用于创建并排列、对齐文本图像、浮动菜单边栏和重叠元素。想了解更多float的相关内容,可以阅读本专题下面的文章。

591

2024.04.28

C++中int、float和double的区别
C++中int、float和double的区别

本专题整合了c++中int和double的区别,阅读专题下面的文章了解更多详细内容。

105

2025.10.23

if什么意思
if什么意思

if的意思是“如果”的条件。它是一个用于引导条件语句的关键词,用于根据特定条件的真假情况来执行不同的代码块。本专题提供if什么意思的相关文章,供大家免费阅读。

820

2023.08.22

js 字符串转数组
js 字符串转数组

js字符串转数组的方法:1、使用“split()”方法;2、使用“Array.from()”方法;3、使用for循环遍历;4、使用“Array.split()”方法。本专题为大家提供js字符串转数组的相关的文章、下载、课程内容,供大家免费下载体验。

573

2023.08.03

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

660

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
最新Python教程 从入门到精通
最新Python教程 从入门到精通

共4课时 | 22.4万人学习

Django 教程
Django 教程

共28课时 | 4.4万人学习

SciPy 教程
SciPy 教程

共10课时 | 1.6万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号