标签:程序 写入文件 漏洞 代码执行 内置函数 对象 gets 取出 情况
pickle 模块可以对一个 Python 对象的二进制进行序列化和反序列化。说白了,就是它能够实现任意对象与二进制直接的相互转化,也可以实现对象与文本之间的相互转化。
比如,我程序里有一个 python 对象,我想把它存到磁盘里,于是我用 pickle 把他转到一个文本里。当后面我想使用的时候,读取出来时候依然是一个 python 对象。
pickle 模块提供了以下 4 种方法:
将 Python 中的对象序列化成二进制对象,并直接返回。
示例
import pickle
test_list = ["pingguo", {1, 2, 3}, None]
# 使用 dumps() 函数将 test_list 转成 p1
p1 = pickle.dumps(test_list)
print(p1)
print("返回类型:", type(p1))
输出结果:
b‘\x80\x03]q\x00(X\x07\x00\x00\x00pingguoq\x01cbuiltins\nset\nq\x02]q\x03(K\x01K\x02K\x03e\x85q\x04Rq\x05Ne.‘
返回类型: <class ‘bytes‘>
读取给定的二进制对象数据,并将其转换为 Python 对象。
示例
在上面的基础上继续:
import pickle
test_list = ["pingguo", {1, 2, 3}, None]
# 使用 dumps() 函数将 test_list 转成 p1
p1 = pickle.dumps(test_list)
print(p1)
print("返回类型:", type(p1))
# 使用 loads() 函数将 p1 转成 Python 对象 p2
p2 = pickle.loads(p1)
print(p2)
print("返回类型:", type(p2))
输出结果:
b‘\x80\x03]q\x00(X\x07\x00\x00\x00pingguoq\x01cbuiltins\nset\nq\x02]q\x03(K\x01K\x02K\x03e\x85q\x04Rq\x05Ne.‘
返回类型: <class ‘bytes‘>
[‘pingguo‘, {1, 2, 3}, None]
返回类型: <class ‘list‘>
pickle 反序列化后的对象与原对象是等值的副本对象,类似deepcopy。
将 Python 中的对象序列化成二进制对象,并写入文件。
示例
import pickle
test_list = ["pingguo", {1, 2, 3}, None]
with open("test_pickle.txt", "wb") as f:
# 使用 dump() 函数将 test_list 转成 p1,写到txt文本里
pickle.dump(test_list, f)
注意这里的写文件是 "wb",以二进制格式打开一个文件只用于写入,否则会报错。
执行成功后,同级目录下生成一个test_pickle.txt文件,因为是二进制内容,直接打开看到的是乱码。
读取指定的序列化数据文件,并返回对象。
示例
import pickle
test_list = ["pingguo", {1, 2, 3}, None]
with open("test_pickle.txt", "wb") as f:
# 使用 dump() 函数将 test_list 转成 p1,写到txt文本里
pickle.dump(test_list, f)
with open("test_pickle.txt", "rb") as f:
# 将二进制文件对象转换成 Python 对象 p3
p3 = pickle.load(f)
print(p3)
print("类型:", type(p3))
注意,这里读取文件用rb,也就是以二进制格式打开一个文件用于只读。
执行成功。
[‘pingguo‘, {1, 2, 3}, None]
类型: <class ‘list‘>
下列类型可以被封存:
python 提供的 json 标准库相信大家都熟悉,提供的方法也与 pickle 相似,那么两者有什么区别呢?
关于最后一点,说的是 pickle 模块并不安全。很有可能你去解封的是恶意构建的 pickle 数据,造成解封时执行了恶意代码,所以要慎用。
标签:程序 写入文件 漏洞 代码执行 内置函数 对象 gets 取出 情况
原文地址:https://www.cnblogs.com/pingguo-softwaretesting/p/15063288.html
