В документации Python указано, что pickle
небезопасен и не должен анализировать недоверенный ввод пользователя. Если вы исследуете это; почти все примеры демонстрируют это с помощью звонка system()
через os.system
.Понимание Python Pickle Insecurity
Что мне непонятно, так это то, как os.system
правильно интерпретируется без импортируемого модуля os
.
>>> import pickle
>>> pickle.loads("cos\nsystem\n(S'ls /'\ntR.") # This clearly works.
bin boot cgroup dev etc home lib lib64 lost+found media mnt opt proc root run sbin selinux srv sys tmp usr var
0
>>> dir() # no os module
['__builtins__', '__doc__', '__name__', '__package__', 'pickle']
>>> os.system('ls /')
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
NameError: name 'os' is not defined
>>>
Может кто-нибудь объяснить?
+1 для нахождения кода модуля – tMC