0

0

Python 数据修复脚本的安全编写规范

舞夢輝影

舞夢輝影

发布时间:2026-02-24 20:49:06

|

690人浏览过

|

来源于php中文网

原创

必须校验路径越界并脱敏敏感日志:用path.resolve()检查是否在允许根目录内,匹配password/token等字段时日志替换为。

python 数据修复脚本的安全编写规范

避免用 execeval 处理外部输入的数据

数据修复脚本常要解析用户传入的表达式或配置,但直接喂给 execeval 就等于把 shell 交出去。哪怕只处理 CSV 中一列“计算公式”,攻击者也能塞进 __import__('os').system('rm -rf /')

  • 改用白名单函数 + ast.literal_eval 处理字面量(dictlist、数字、字符串),它不执行任意代码
  • 真需要动态计算,用 numexprpandas.eval,它们限制作用域、禁用内置函数
  • 如果必须用 eval,至少重置 globalslocals,只暴露极少数安全函数,比如:{'abs': abs, 'round': round}

读写文件前必须校验路径是否越界

修复脚本常接受 --input--output 路径参数,但没做规范化就直接拼接,容易被 ../../etc/passwd 绕过。Python 的 pathlib.Path 默认不拦截上层跳转。

  • pathlib.Path.resolve() 获取绝对路径后,检查是否在允许根目录内:if not str(output_path).startswith(str(allowed_root)):
  • 避免用 os.path.join 拼接用户输入——它不会清理 ../;改用 Path.cwd() / user_input.resolve()
  • Linux 下注意符号链接:即使路径在白名单内,resolve() 后仍可能指向外部,必要时用 Path.samefile() 校验真实位置

敏感字段默认不打印、不落日志

修复过程中若遇到含密码、token、身份证号的字段,脚本默认输出或写入 debug 日志,等于把密钥明文存硬盘。尤其当脚本跑在共享服务器或 CI 环境时,风险极高。

小麦企业网站展示系统1.1
小麦企业网站展示系统1.1

小麦企业网站展示系统介绍:一、安装使用将xiaomai.sql导入数据库二、后台登录后台帐号,密码默认都是admin,config.php 配置文件可根据自行需要修改,IP地址,数据库用户名,密码,及表名后台目录默认admin,支持自行任意修改目录名三、注意事项1 本源码完全免费,采用伪静态,减少不必要的源码重复,速度更快,支持二次开发。2、注明本程序编码为UTF8,如发生乱码,请注意修改编码3、

下载
  • 用正则预扫描字段值,匹配到敏感模式(如 r'(?i)password|token|idcard')就跳过 print,日志中替换为 <redacted></redacted>
  • 别依赖“只在本地跑”——加一层开关:if not args.sensitive_logging: 控制是否记录原始值
  • logging.handlers.RotatingFileHandler 时设 mode='w' 防止旧日志残留敏感内容

tempfile 替代手动建临时文件

修复大文件时,常先写中间结果到 /tmp/fix_temp.csv,但硬编码路径有竞态和权限问题:多个实例可能覆盖彼此,或因 umask 导致临时文件可被同组用户读取。

立即学习Python免费学习笔记(深入)”;

  • 一律用 tempfile.NamedTemporaryFile(delete=False),它自动选安全路径、设 0600 权限、避免命名冲突
  • 关闭文件句柄后再重命名:temp_file.close(); os.replace(temp_file.name, final_path),保证原子写入
  • Windows 下注意:不能在打开时重命名,所以 delete=False 是必须的;Linux 下可用 tempfile.mkstemp() 配合 os.fdopen
事情说清了就结束。最常漏的是路径校验和日志脱敏——不是想不到,是调试时随手 print 一下,上线就忘了关。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
Python 时间序列分析与预测
Python 时间序列分析与预测

本专题专注讲解 Python 在时间序列数据处理与预测建模中的实战技巧,涵盖时间索引处理、周期性与趋势分解、平稳性检测、ARIMA/SARIMA 模型构建、预测误差评估,以及基于实际业务场景的时间序列项目实操,帮助学习者掌握从数据预处理到模型预测的完整时序分析能力。

76

2025.12.04

Python 数据清洗与预处理实战
Python 数据清洗与预处理实战

本专题系统讲解 Python 在数据清洗与预处理中的核心技术,包括使用 Pandas 进行缺失值处理、异常值检测、数据格式化、特征工程与数据转换,结合 NumPy 高效处理大规模数据。通过实战案例,帮助学习者掌握 如何处理混乱、不完整数据,为后续数据分析与机器学习模型训练打下坚实基础。

9

2026.01.31

python中print函数的用法
python中print函数的用法

python中print函数的语法是“print(value1, value2, ..., sep=' ', end=' ', file=sys.stdout, flush=False)”。本专题为大家提供print相关的文章、下载、课程内容,供大家免费下载体验。

192

2023.09.27

python print用法与作用
python print用法与作用

本专题整合了python print的用法、作用、函数功能相关内容,阅读专题下面的文章了解更多详细教程。

13

2026.02.03

if什么意思
if什么意思

if的意思是“如果”的条件。它是一个用于引导条件语句的关键词,用于根据特定条件的真假情况来执行不同的代码块。本专题提供if什么意思的相关文章,供大家免费阅读。

829

2023.08.22

登录token无效
登录token无效

登录token无效解决方法:1、检查token的有效期限,如果token已经过期,需要重新获取一个新的token;2、检查token的签名,如果签名不正确,需要重新获取一个新的token;3、检查密钥的正确性,如果密钥不正确,需要重新获取一个新的token;4、使用HTTPS协议传输token,建议使用HTTPS协议进行传输 ;5、使用双因素认证,双因素认证可以提高账户的安全性。

6436

2023.09.14

登录token无效怎么办
登录token无效怎么办

登录token无效的解决办法有检查Token是否过期、检查Token是否正确、检查Token是否被篡改、检查Token是否与用户匹配、清除缓存或Cookie、检查网络连接和服务器状态、重新登录或请求新的Token、联系技术支持或开发人员等。本专题为大家提供token相关的文章、下载、课程内容,供大家免费下载体验。

838

2023.09.14

token怎么获取
token怎么获取

获取token值的方法:1、小程序调用“wx.login()”获取 临时登录凭证code,并回传到开发者服务器;2、开发者服务器以code换取,用户唯一标识openid和会话密钥“session_key”。想了解更详细的内容,可以阅读本专题下面的文章。

1087

2023.12.21

Golang 生态工具与框架:扩展开发能力
Golang 生态工具与框架:扩展开发能力

《Golang 生态工具与框架》系统梳理 Go 语言在实际工程中的主流工具链与框架选型思路,涵盖 Web 框架、RPC 通信、依赖管理、测试工具、代码生成与项目结构设计等内容。通过真实项目场景解析不同工具的适用边界与组合方式,帮助开发者构建高效、可维护的 Go 工程体系,并提升团队协作与交付效率。

1

2026.02.24

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
最新Python教程 从入门到精通
最新Python教程 从入门到精通

共4课时 | 22.4万人学习

Django 教程
Django 教程

共28课时 | 4.5万人学习

SciPy 教程
SciPy 教程

共10课时 | 1.7万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号