python代码安全问题易被忽视但后果严重,尤其在web应用、api服务等场景中。常见漏洞及防护措施如下:1. 代码注入:因使用eval()、exec()或拼接命令引发,建议避免此类用法,改用subprocess.run()并传入参数列表;2. 命令注入:用户输入影响系统命令执行,应避免拼接字符串构造命令,使用shlex.quote()转义或内置函数替代;3. 文件路径穿越:用户输入未经验证导致访问敏感文件,需检查路径是否包含../或~,推荐使用pathlib模块进行路径规范化判断;4. 第三方库风险:依赖可能存在漏洞,建议定期使用pip-audit和pip list --outdated检查更新,并审慎选择维护良好的库。安全审计应作为持续性任务,防范于未然。
Python代码安全问题在实际开发中很容易被忽略,但一旦出事,可能带来数据泄露、系统被攻击等严重后果。尤其是Web应用、自动化脚本和API服务这类场景,更容易成为攻击目标。
下面从几个常见的漏洞类型出发,讲讲它们的成因、如何检测,以及对应的防护建议。
代码注入(Code Injection)
这是最危险的一种漏洞之一,尤其是在使用eval()、exec()或者拼接字符串执行命令时容易触发。
立即学习“Python免费学习笔记(深入)”;
常见现象:
- 用户输入直接用于执行代码逻辑
- 使用
os.system()或subprocess执行外部命令时未过滤参数
防护建议:
- 避免使用
eval()和exec()处理用户输入 - 如果必须执行系统命令,使用
subprocess.run()并传入参数列表而不是字符串 - 对所有外部输入进行白名单校验或转义处理
例如:
# 不安全写法 cmd = "echo " + user_input os.system(cmd) # 更安全的方式 subprocess.run(["echo", user_input], check=True)
命令注入(Command Injection)
与代码注入类似,但更偏向于通过调用系统命令造成的风险,比如在日志记录、文件操作等功能中引入了用户可控的变量。
典型例子:
用户上传一个文件名,程序内部用类似os.system("rm " + filename)的方式删除临时文件,结果攻击者传入了"; rm -rf /",造成灾难性后果。
防护措施:
- 尽量避免拼接字符串来构造命令
- 使用
shlex.quote()对参数做转义 - 优先使用Python内置函数代替shell命令,如
os.remove()比rm更安全
文件路径穿越(Path Traversal)
这种漏洞常出现在需要根据用户输入读取或写入文件的功能中,比如图片查看器、配置加载器等。
问题来源:
用户输入未经验证,导致可以访问任意路径,例如输入../../etc/passwd尝试读取敏感文件。
应对方法:
- 检查路径是否包含
../或~ - 使用
os.path.abspath()获取绝对路径,并限制在允许目录下 - 可以考虑使用
pathlib模块进行路径规范化和判断
举个例子:
from pathlib import Path
base_dir = Path("/safe/dir")
user_path = Path(user_input).resolve()
if base_dir in user_path.parents:
# 安全
else:
# 路径越权,拒绝访问第三方库带来的安全隐患
很多项目依赖大量第三方库,而这些库可能存在已知漏洞。如果不定期更新或监控,可能会埋下隐患。
建议做法:
- 使用
pip-audit检查依赖中的安全问题 - 定期运行
pip list --outdated查看是否有可升级包 - 使用虚拟环境隔离不同项目的依赖版本
- 不要盲目安装“下载量高”的包,确认其维护状态和社区反馈
以上几种是Python项目中最常见的安全问题,虽然不是每个都会立刻暴露出来,但在生产环境中不加防范,就等于给攻击者留了后门。
基本上就这些,安全审计不是一次性的任务,而是持续的过程。
