来源：天融信教育

编写安全的代码很困难，当你学习一门编程语言、一个模块或框架时，你会学习其使用方法。在考虑安全性时，你需要考虑如何避免代码被滥用，Python也不例外，即使在标准库中，也存在着许多糟糕的实例。然而，许多 Python 开发人员却根本不知道这些。

以下是10个Python常见安全漏洞，排名不分先后。

1、输入注入

注入攻击影响广泛且很常见，注入有很多种类，它们影响所有的语言、框架和环境。

SQL 注入是直接编写 SQL 查询（而非使用 ORM） 时将字符串与变量混合。我读过很多代码，其中“引号字符转义”被认为是一种修复，但事实并非如此，可以通过 SQL 注入所有可能发生的方式。

命令注入有可能在使用 popen、subprocess、os.system 调用一个进程并从变量中获取参数时发生，当调用本地命令时，有人可能会将某些值设置为恶意值。

2、解析XML

如果您的应用程序加载并解析XML文件，可能您正在使用一个XML标准库模块。有一些针对XML的常见攻击。大多数为DoS风格（旨破坏系统而不是盗取数据）。这些攻击很常见，特别是在解析外部（即不可信任的）XML文件时。

其中一种攻击为“billion laughs”，因为加载的文件包含了很多个（数十亿）“lols”。你可以加载XML实体文件，当XML解析器试图将这个XML文件加载到内存中时，会消耗很多个G的内存。不信就试试看:-)

另一种攻击使用外部实体扩展。 XML支持从外部URL引用实体，XML解析器通常会直接获取并加载该资源。“攻击者可以绕开防火墙访问保密资源，因为所有请求都是由内部可信的IP地址创建的，请求不是来自于外部。”

3、Assert 语句

不要使用 assert 语句来防止用户访问特定代码段。

4、计时攻击

计时攻击本质上是一种通过计算比较提供值所需时间来暴露行为和算法的方式。计时攻击需要精确性，所以通常不能用于高延迟的远程网络。由于大多数 Web 应用程序涉及可变延迟，因此几乎不可能针对 HTTP Web 服务器编写计时攻击。

5、感染site-packages 或导入路径

Python的导入系统非常灵活。当你为测试程序编写猴子补丁，或者重载核心函数时，你会感觉非常方便。

6、临时文件

要在 Python 中创建临时文件，你通常会使用 mktemp ( )函数生成一个文件名，然后使用该名称创建一个文件。 “这是不安全的，因为另一个进程可能会在调用 mktemp ( )和随后尝试通过第一个进程创建文件之间的空隙创建一个同名文件。”这意味着应用程序可能加载错误的数据或暴露其他的临时数据。

7、使用 yaml.load

警告：使用不可信源的数据调用 yaml.load 是不安全的！ yaml.load 和pickle.load 一样强大，所以可以调用任何 Python 函数。

8、Pickle漏洞

用pickle反序列化数据和YAML一样糟糕。在pickle对象时，Python类可以声明一个名为__reduce__的魔术方法，该方法返回一个字符串、或一个元组。攻击者可以使用它来引用其中一个子进程模块，在主机上运行任意命令。

9、使用系统自带的Python而不修补漏洞

由于“Python”，即CPython是用C语言编写的，所以Python解释器本身存在漏洞。 C语言中常见的安全问题与内存分配有关，所以存在缓冲区溢出错误。

10、不修补依赖包的漏洞

类似于修补Python本身的漏洞，您还需要定期修补依赖包漏洞。有人习惯于使用PyPi软件包的“固定”版本，这种做法很可怕。他们认为“这些是有用的版本”，所以每个人都对漏洞置若罔闻。