W dokumentacji Pythona stwierdza, że pickle
nie jest bezpieczny i nie powinien analizować niezaufanych danych wprowadzanych przez użytkownika. Jeśli to zbadacie; prawie wszystkie przykłady pokazują to za pomocą połączenia system()
przez os.system
.Zrozumienie niepewności Python Pickle
Nie jest dla mnie jasne, w jaki sposób os.system
jest interpretowany poprawnie bez importowania modułu os
.
>>> import pickle
>>> pickle.loads("cos\nsystem\n(S'ls /'\ntR.") # This clearly works.
bin boot cgroup dev etc home lib lib64 lost+found media mnt opt proc root run sbin selinux srv sys tmp usr var
0
>>> dir() # no os module
['__builtins__', '__doc__', '__name__', '__package__', 'pickle']
>>> os.system('ls /')
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
NameError: name 'os' is not defined
>>>
Czy ktoś może wyjaśnić?
+1 za znalezienie kodu modułu – tMC