rexec

自2.6版以来已弃用：该rexec模块已在Python 3中删除。

版本2.3中更改：禁用的模块。

警告

该文档已保留，以帮助阅读使用该模块的旧代码。

该模块包含RExec类，它支持r_eval()，r_execfile()，r_exec()，和r_import()方法，其被限制的标准Python函数版本eval()，execfile()并且exec与import陈述。在此受限环境中执行的代码只能访问被视为安全的模块和功能; 您可以RExec根据需要创建子类以添加或删除功能。

警告

虽然该rexec模块设计为如下所述执行，但确实存在一些已知的漏洞，可通过仔细编写的代码进行利用。因此在需要“生产就绪”安全的情况下不应该依赖它。在这种情况下，可能需要通过子流程执行或非常仔细地“清理”代码和待处理数据。或者，rexec欢迎修补已知漏洞的帮助。

注意

本RExec类可以防止代码执行像读取或写入磁盘文件，或使用TCP / IP套接字不安全的操作。但是，它不能防止使用大量内存或处理器时间的代码。

class rexec.RExec([hooks[, verbose]])

返回RExec类的一个实例。

钩子是RHooks类的一个实例或它的一个子类。如果省略，或者None默认的RHooks类被实例化。无论何时rexec模块搜索模块（甚至是内置模块）或读取模块的代码，它都不会实际发送到文件系统本身。相反，它调用RHooks传递给它的构造函数或由其构造函数创建的实例的方法。（实际上，RExec对象不会进行这些调用 - 它们是由作为对象组成部分的模块加载器对象创建的，RExec这允许具有其他级别的灵活性，这在更改import受限制环境中的机制时非常有用。）

通过提供备用RHooks对象，我们可以控制文件系统对导入模块的访问，而不会改变控制访问顺序的实际算法。例如，我们可以RHooks通过一些RPC机制（如ILU）来替换一个将所有文件系统请求传递到其他文件服务器的对象。Grail的小程序加载器使用它来支持从目录的URL导入小程序。

如果verbose为true，则可以将其他调试输出发送到标准输出。

请注意，在受限环境中运行的代码仍然可以调用该sys.exit()函数，这一点很重要。要禁止退出解释程序的受限代码，请始终保护导致受限代码以捕获异常的try/ except语句运行的调用SystemExit。sys.exit()从受限制的环境中删除功能是不够的 - 限制的代码仍然可以使用raise SystemExit。去除SystemExit不是一个合理的选择; 一些库代码使用这个，如果不可用，会中断。

另请参阅

Grail主页 Grail是一个完全用Python编写的Web浏览器。它使用该rexec模块作为支持Python小程序的基础，并可用作此模块的示例用法。

1. RExec对象

RExec 实例支持以下方法：

RExec.r_eval(code)

代码必须是包含Python表达式的字符串，或者是将在受限制环境的__main__模块中进行评估的编译代码对象。表达式或代码对象的值将被返回。

RExec.r_exec(code)

代码必须是包含一行或多行Python代码的字符串，或者是将在受限制环境的__main__模块中执行的编译代码对象。

RExec.r_execfile(filename)

在受限制环境的模块中执行包含在文件filename中的Python代码__main__。

方法名称开头s_是类似于开头的功能r_，但代码将被授予访问I / O流的标准的限制版本sys.stdin，sys.stderr和sys.stdout。

RExec.s_eval(code)

代码必须是包含Python表达式的字符串，它将在受限制的环境中进行评估。

RExec.s_exec(code)

代码必须是包含一行或多行Python代码的字符串，这些代码将在受限制的环境中执行。

RExec.s_execfile(code)

在受限制的环境中执行包含在文件filename中的Python代码。

RExec对象还必须支持各种方法，这些方法将在受限环境中执行的代码隐式调用。覆盖子类中的这些方法用于更改受限环境强制的策略。

RExec.r_import(modulename[, globals[, locals[, fromlist]]])

导入模块模块名称，ImportError如果模块被认为是不安全的，则引发异常。

RExec.r_open(filename[, mode[, bufsize]])

open()在受限制的环境中调用when的方法。参数与那些参数相同open()，并且应该返回文件对象（或与文件对象兼容的类实例）。RExec默认行为是允许打开任何文件进行读取，但禁止任何尝试写入文件。请参阅下面的示例，了解更少限制的实现r_open()。

RExec.r_reload(module)

重新加载模块对象模块，重新解析并重新初始化它。

RExec.r_unload(module)

卸载模块对象模块（将其从受限制环境的sys.modules字典中移除）。

和它们的等价物可以访问受限制的标准I / O流：

RExec.s_import(modulename[, globals[, locals[, fromlist]]])

导入模块模块名称，ImportError如果模块被认为是不安全的，则引发异常。

RExec.s_reload(module)

重新加载模块对象模块，重新解析并重新初始化它。

RExec.s_unload(module)

卸载模块对象模块。

2.定义受限制的环境

所述RExec类具有以下类属性，这是由所使用的__init__()方法。在现有实例上更改它们不会产生任何影响; 相反，请RExec在类定义中创建一个子类并为它们分配新值。新班级的实例将使用这些新值。所有这些属性都是字符串的元组。

RExec.nok_builtin_names

包含在受限环境中运行的程序将不可用的内置函数的名称。值RExec是('open', 'reload', '__import__')。（这给出了例外，因为到目前为止，大多数内置函数都是无害的。想要重写此变量的子类可能应该从基类的值开始，并连接其他禁止函数 - 当新的危险内置函数被添加到Python中，它们也将被添加到这个模块中。）

RExec.ok_builtin_modules

包含可以安全导入的内置模块的名称。值RExec是('audioop', 'array', 'binascii', 'cmath', 'errno', 'imageop', 'marshal', 'math', 'md5', 'operator', 'parser', 'regex', 'select', 'sha', '_sre', 'strop', 'struct', 'time')。关于重写此变量的类似说法也适用 - 使用基类中的值作为起点。

RExec.ok_path

包含import在受限环境中执行某个搜索时将要搜索的目录。该值RExec与sys.path无限制代码中的值相同（在模块加载时）。

RExec.ok_posix_names

包含os模块中可用于在受限环境中运行的程序的功能名称。值RExec是('error', 'fstat', 'listdir', 'lstat', 'readlink', 'stat', 'times', 'uname', 'getpid', 'getppid', 'getcwd', 'getuid', 'getgid', 'geteuid', 'getegid')。

RExec.ok_sys_names

包含sys模块中的功能和变量的名称，这些名称可用于在受限环境中运行的程序。值RExec是('ps1', 'ps2', 'copyright', 'version', 'platform', 'exit', 'maxint')。

RExec.ok_file_types

包含允许加载模块的文件类型。每个文件类型都是在imp模块中定义的整数常量。有意义的值是PY_SOURCE，PY_COMPILED和C_EXTENSION。值RExec是(C_EXTENSION, PY_SOURCE)。PY_COMPILED不推荐添加子类。攻击者可以通过.pyc在文件系统中的任何位置放置一个伪造的字节编译文件（）来退出受限制的执行模式，例如将其写入/tmp或上传到/incoming公用FTP服务器的目录中。

3.一个例子

让我们说，我们想要一个比标准RExec类稍宽松的政策。例如，如果我们愿意允许/tmp写入文件，我们可以继承这个RExec类的子类：

class TmpWriterRExec(rexec.RExec):
    def r_open(self, file, mode='r', buf=-1):
        if mode in ('r', 'rb'):
            pass
        elif mode in ('w', 'wb', 'a', 'ab'):
            # check filename: must begin with /tmp/
            if file[:5]!='/tmp/':
                raise IOError("can't write outside /tmp")
            elif (string.find(file, '/../') >= 0 or
                 file[:3] == '../' or file[-3:] == '/..'):
                raise IOError("'..' in filename forbidden")
        else: raise IOError("Illegal open() mode")
        return open(file, mode, buf)

注意上面的代码偶尔会禁止一个完全有效的文件名; 例如，受限环境中的代码将无法打开调用的文件/tmp/foo/../bar。为了解决这个问题，该r_open()方法将不得不简化文件名/tmp/bar，这将需要拆分文件名并对其执行各种操作。在安全受到威胁的情况下，编写简单的代码有时候会更加严格，而不是更复杂的代码，而且可能存在一个微妙的安全漏洞。