<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="zh">
	<id>https://arolstar52-zhtest.hf.space/index.php?action=history&amp;feed=atom&amp;title=Eval</id>
	<title>Eval - 版本历史</title>
	<link rel="self" type="application/atom+xml" href="https://arolstar52-zhtest.hf.space/index.php?action=history&amp;feed=atom&amp;title=Eval"/>
	<link rel="alternate" type="text/html" href="https://arolstar52-zhtest.hf.space/index.php?title=Eval&amp;action=history"/>
	<updated>2026-07-17T17:04:59Z</updated>
	<subtitle>在这个wiki上该页的修订历史</subtitle>
	<generator>MediaWiki 1.43.9</generator>
	<entry>
		<id>https://arolstar52-zhtest.hf.space/index.php?title=Eval&amp;diff=2125916&amp;oldid=prev</id>
		<title>imported&gt;Mhss：​/* Perl */</title>
		<link rel="alternate" type="text/html" href="https://arolstar52-zhtest.hf.space/index.php?title=Eval&amp;diff=2125916&amp;oldid=prev"/>
		<updated>2025-12-09T04:09:14Z</updated>

		<summary type="html">&lt;p&gt;&lt;span class=&quot;autocomment&quot;&gt;Perl&lt;/span&gt;&lt;/p&gt;
&lt;p&gt;&lt;b&gt;新页面&lt;/b&gt;&lt;/p&gt;&lt;div&gt;{{Expand|time=2013-05-03T13:46:43+00:00 }}&lt;br /&gt;
{{lowercase}}&lt;br /&gt;
在一些[[程序语言]]中，&amp;lt;b style=&amp;quot;font-family:consolas,monospace&amp;quot;&amp;gt;eval&amp;lt;/b&amp;gt; 是一个把字符串当作表达式执行而返回一个结果的函数；在另一些之中，它执行多行的代码就好像它们被包括在其中，而不是包括 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 的这一行。&amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 的输入不一定是字符串；在支持句法抽象的语言（如 [[Lisp]]）中，&amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 的输入将会由抽象句法形式组成。&lt;br /&gt;
&lt;br /&gt;
== 安全风险 ==&lt;br /&gt;
当使用 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 而数据来自不可信任的来源时，&amp;#039;&amp;#039;&amp;#039;一定要&amp;#039;&amp;#039;&amp;#039;特别的注意。比如说，假设 &amp;lt;code&amp;gt;get_data()&amp;lt;/code&amp;gt; 函数从 Internet 获取数据，这个 [[Python]] 代码就是不安全的:&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;python&amp;quot;&amp;gt;&lt;br /&gt;
session[&amp;#039;authenticated&amp;#039;] = False&lt;br /&gt;
data = get_data()&lt;br /&gt;
foo = eval(data)&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
一个攻击者可以让字符串 &amp;lt;code&amp;gt;&amp;quot;session.update(authenticated=True)&amp;quot;&amp;lt;/code&amp;gt; 作为数据提供给这个程序，它将会更新 &amp;lt;code&amp;gt;session&amp;lt;/code&amp;gt; 字典以设定一个通过身份验证的键为 True。为了补救这一点，所有将会被 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 使用的数据必须被转义，或者必须运行于无法访问可能有害的函数的环境下。&lt;br /&gt;
== 使用 ==&lt;br /&gt;
对 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 的调用有时被没经验的程序员在所有种类的事物上使用。在绝大多数情况下，有更加灵活而不会造成解析代码时速度损失的可替代的方法。&lt;br /&gt;
&lt;br /&gt;
比如说，&amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 有时被用于一个简单的{{link-en|邮件合并|Mail merge}}设施上，就像如下 [[PHP]] 代码所示:&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;php&amp;quot;&amp;gt;&lt;br /&gt;
$name = &amp;#039;John Doe&amp;#039;;&lt;br /&gt;
$greeting = &amp;#039;Hello&amp;#039;;&lt;br /&gt;
$template = &amp;#039;&amp;quot;$greeting,  $name! How can I help you today?&amp;quot;&amp;#039;;&lt;br /&gt;
print eval(&amp;quot;return $template;&amp;quot;);&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
尽管这确实有用，它可能导致一些安全问题 (见[[#安全风险|安全风险]])，而且比其它的解决方案慢很多。一个更快和更安全的解决方案可以是改变最后一行为 &amp;lt;code&amp;gt;print $template;&amp;lt;/code&amp;gt; 和移除前一行的单引号，或者使用 &amp;lt;code&amp;gt;printf&amp;lt;/code&amp;gt;。&lt;br /&gt;
&lt;br /&gt;
&amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 有时也被用于需要对数学表达式求值的应用中，如[[电子试算表]]。这比写一个表达式解析器简单多了，但是发现或者写出一个表达式解析器通常是一个更好的选择。除了可修复的安全风险，使用这种语言的求值特性通常很有可能更慢，也没有那么高的可定制性。&lt;br /&gt;
&lt;br /&gt;
也许 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 的最佳使用是在[[自舉 (編譯器)|bootstrapping]]一个新的语言的过程中 (就像 [[Lisp]] 那样)，以及作为语言的允许用户在受控制的环境下运行他们自己的程序的指导程序。&lt;br /&gt;
&lt;br /&gt;
出于表达式求值的目的，eval 相比表达式解析器的主要优势在于，在 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 受支持的绝大多数编程环境下，这个表达式可能是任意的复杂，而且可能包括对使用者所写的不可能被解析器的创造者所预先知道的函数的调用。这个能力允许你用一个你可以按需要增强的函数库有效的增加 eval() 引擎，而不必持续的维持一个表达式解析器。然而，如果你不需要这么终极的灵活性，表达式解析器远远更加有效和轻量。&lt;br /&gt;
&lt;br /&gt;
== 实施 ==&lt;br /&gt;
在[[直译语言]]中，&amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 几乎总是被和正常的代码使用一样的解析器实现。在[[编译语言]]中，用于编译程序的编译器可能被嵌入在使用 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 的程序中; 分开来的解释器有时也被使用，尽管这可能会导致[[重复代码]]。&lt;br /&gt;
&lt;br /&gt;
== 程序语言 ==&lt;br /&gt;
=== JavaScript ===&lt;br /&gt;
在 [[JavaScript]] 中，&amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 是某种介于表达式求值器和语句执行器的混合体。它返回最后一个被求值的表达式的值 (在 JavaScript 中，所有语句都是表达式)，也允许最后一个分号省略。&lt;br /&gt;
&lt;br /&gt;
如下示例是一个表达式求值器:&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;javascript&amp;quot;&amp;gt;&lt;br /&gt;
foo = 2;&lt;br /&gt;
alert(eval(&amp;#039;foo + 2&amp;#039;));&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
如下示例则是一个语句执行器。&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;javascript&amp;quot;&amp;gt;&lt;br /&gt;
foo = 2;&lt;br /&gt;
eval(&amp;#039;foo = foo + 2;alert(foo);&amp;#039;);&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
JavaScript 的 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 的一个应用是解析 [[JSON]] 文本，也许是作为 [[Ajax]] 框架中的一部分。然而，现代的浏览器提供 &amp;lt;code&amp;gt;JSON.parse&amp;lt;/code&amp;gt; 作为这个任务的一个更加安全的替代品。&lt;br /&gt;
=== ActionScript ===&lt;br /&gt;
在 [[ActionScript]] (Flash 的编程语言) 中，&amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 不能用于计算任意的表达式。根据 Flash 8 文档，它的使用仅限于代表“变量名，属性，对象或者要检索的影片剪辑。这个参数可以是一个字符串或者对对象实例的一个直接引用”的表达式。&amp;lt;ref&amp;gt;{{cite web |url=http://livedocs.macromedia.com/flash/8/index.html |title=存档副本 |accessdate=2006-09-22 |deadurl=yes |archiveurl=https://web.archive.org/web/20061010123451/http://livedocs.macromedia.com/flash/8/index.html |archivedate=2006-10-10 }}&amp;lt;/ref&amp;gt;&lt;br /&gt;
&lt;br /&gt;
ActionScript 3 不支持 eval。&lt;br /&gt;
&lt;br /&gt;
ActionScript 3 Eval Library&amp;lt;ref&amp;gt;{{Cite web |url=http://eval.hurlant.com/ |title=AS3 Eval Library |accessdate=2013-05-12 |archive-date=2013-05-20 |archive-url=https://web.archive.org/web/20130520030039/http://eval.hurlant.com/ |dead-url=no }}&amp;lt;/ref&amp;gt; 和 D.eval API&amp;lt;ref&amp;gt;{{Cite web |url=http://www.riaone.com/products/deval/ |title=D.eval API |accessdate=2013-05-12 |archive-date=2009-07-26 |archive-url=https://web.archive.org/web/20090726072511/http://www.riaone.com/products/deval/ |dead-url=no }}&amp;lt;/ref&amp;gt; 是进行中的用以在 ActionScript 3 中创建 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 的等价物的开发项目。&lt;br /&gt;
&lt;br /&gt;
=== Lisp ===&lt;br /&gt;
[[Lisp]] 是首先使用 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 函数的语言。事实上，对 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 函数的定义导致了该语言解释器的最初的实施。&amp;lt;ref&amp;gt;{{Cite web |url=http://www-formal.stanford.edu/jmc/history/lisp/node3.html |title=John McCarthy, &amp;quot;History of Lisp - The Implementation of Lisp&amp;quot; |accessdate=2013-06-07 |archive-date=2013-03-02 |archive-url=https://web.archive.org/web/20130302115309/http://www-formal.stanford.edu/jmc/history/lisp/node3.html |dead-url=no }}&amp;lt;/ref&amp;gt;在 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 函数被定义之前，Lisp 函数只是手动被编译成[[汇编语言]]语句。然而，一旦 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 函数被手动编译，它随后就被用于组成第一个 Lisp 解释器的基础的[[Read–eval–print循环]]的一部分。&lt;br /&gt;
&lt;br /&gt;
Lisp &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 函数的后来版本也被作为编译器实施。&lt;br /&gt;
&lt;br /&gt;
Lisp 中的 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 函数期望一个形式作为一个参数被求值和执行。给定形式的返回值将会是对 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 的调用的返回值。&lt;br /&gt;
&lt;br /&gt;
这是一个示例 Lisp 代码:&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;lisp&amp;quot;&amp;gt;&lt;br /&gt;
; A form which calls the + function with 1,2 and 3 as arguments.&lt;br /&gt;
; It returns 6.&lt;br /&gt;
(+ 1 2 3)&lt;br /&gt;
; In lisp any form is meant to be evaluated, therefore&lt;br /&gt;
; the call to + was performed.&lt;br /&gt;
; We can prevent Lisp from performing evaluation&lt;br /&gt;
; of a form by prefixing it with &amp;quot;&amp;#039;&amp;quot;, for example:&lt;br /&gt;
(setq form1 &amp;#039;(+ 1 2 3))&lt;br /&gt;
; Now form1 contains a form that can be used by eval, for&lt;br /&gt;
; example:&lt;br /&gt;
(eval form1)&lt;br /&gt;
; eval evaluated (+ 1 2 3) and returned 6.&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
Lisp 众所周知的非常灵活，&amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 函数也是。例如，为了对字符串的内容求值，这个字符串首先必须使用 &amp;lt;code&amp;gt;read-from-string&amp;lt;/code&amp;gt; 函数转化为 Lisp 格式，随后这个结果的格式将会被传给 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt;:&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;lisp&amp;quot;&amp;gt;&lt;br /&gt;
(eval (read-from-string &amp;quot;(format t \&amp;quot;Hello World!!!~%\&amp;quot;)&amp;quot;))&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
主要造成混淆的一点是这个问题，即在哪个上下文中这个形式中的符号会被求值。在上述示例中，&amp;lt;code&amp;gt;form1&amp;lt;/code&amp;gt; 包含符号 +。对该符号的求值必然会产生一个用于加法的函数以使得该示例像预期那样工作。因而 Lisp 的某些方言允许为 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 传入一个额外的参数以指定求值的上下文 (类似于 Python 的 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 函数的可选参数 - 如下所示)。一个用 Lisp 的 [[Scheme]] 方言 (R&amp;lt;sup&amp;gt;5&amp;lt;/sup&amp;gt;RS 和以后版本) 写出的示例:&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;scheme&amp;quot;&amp;gt;&lt;br /&gt;
;; Define some simple form as in the above example.&lt;br /&gt;
(define form2 &amp;#039;(+ 5 2))&lt;br /&gt;
;Value: form2&lt;br /&gt;
 &lt;br /&gt;
;; Evaluate the form within the initial context.&lt;br /&gt;
;; A context for evaluation is called an &amp;quot;environment&amp;quot; in Scheme slang.&lt;br /&gt;
(eval form2 user-initial-environment)&lt;br /&gt;
;Value: 7&lt;br /&gt;
 &lt;br /&gt;
;; Confuse the initial environment, so that + will be&lt;br /&gt;
;; a name for the subtraction function.&lt;br /&gt;
(environment-define user-initial-environment &amp;#039;+ -)&lt;br /&gt;
;Value: +&lt;br /&gt;
 &lt;br /&gt;
;; Evaluate the form again.&lt;br /&gt;
;; Notice that the returned value has changed.&lt;br /&gt;
(eval form2 user-initial-environment)&lt;br /&gt;
;Value: 3&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
=== Perl ===&lt;br /&gt;
在 [[Perl]] 中，&amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 函数是某种介于表达式求值器和语句执行器的混合体。它返回最后一个被求值的表达式的结果 (在 Perl 编程中，所有的语句都是表达式)，且允许最后一个分号省略。&lt;br /&gt;
&lt;br /&gt;
一个表达式求值器的示例:&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;perl&amp;quot;&amp;gt;&lt;br /&gt;
$foo = 2;&lt;br /&gt;
print eval(&amp;#039;$foo + 2&amp;#039;), &amp;quot;\n&amp;quot;;&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
一个语句执行器的示例:&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;perl&amp;quot;&amp;gt;&lt;br /&gt;
$foo = 2;&lt;br /&gt;
eval(&amp;#039;$foo += 2; print &amp;quot;$foo\n&amp;quot;;&amp;#039;);&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
(注意字符串的引号。注意单引号在上述示例中被用来引用字符串。如果使用的是双引号，它将会在把该字符串传入 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 之前把变量的值[[变量 (程序设计)|插入]]字符串，破坏了 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 原本的目的，而且在赋值的情况下，有可能引起句法错误。)&lt;br /&gt;
&lt;br /&gt;
[[Perl]] 也有 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; &amp;#039;&amp;#039;块&amp;#039;&amp;#039;，作为它的[[例外处理 (编程)|异常处理]]机制。这与上述对 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 传入字符串的用法不同，在于 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 内的代码在编译时而不是运行时解释，所以它不是本文中使用的 &amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 的含义。&lt;br /&gt;
&lt;br /&gt;
== PHP ==&lt;br /&gt;
在 [[PHP]] 中，&amp;lt;code&amp;gt;eval&amp;lt;/code&amp;gt; 执行在一个字符串中的代码几乎就像它被放进了文件中，而不是对 &amp;lt;code&amp;gt;eval()&amp;lt;/code&amp;gt; 的调用一样。唯一的区别是错误被报道为来自对 &amp;lt;code&amp;gt;eval()&amp;lt;/code&amp;gt; 的一个调用，而返回语句则成为函数的结果。&lt;br /&gt;
&lt;br /&gt;
== 参考来源 ==&lt;br /&gt;
{{reflist}}&lt;br /&gt;
[[category:控制流程]]&lt;/div&gt;</summary>
		<author><name>imported&gt;Mhss</name></author>
	</entry>
</feed>