t1m013y's questions

我正在创建一个 Python 应用程序，它允许我在某些行中使用变量。假设字符串和变量列表都是由用户直接提供的（在这种情况下，安全意味着防止 SSTI 等攻击），那么使用标准库对象string.Template（https://docs.python.org/3/library/string.html#template-strings ）是否安全？

换句话说，这样的代码是否安全：

import string

template_str = input("Введите строку: ")
variables = {}
while True:
    name = input("Введите имя переменной (оставить пустым для отмены): ")
    if not name.strip():
        break
    value = input("Введите значение переменной: ")
    name, value = map(lambda s: s.strip(), [name, value])
    if name in variables.keys():
        print("Такая переменная уже существует")
    else:
        variables.update({name: value})

t = string.Template(template_str)
res = t.substitute(variables)
print(res)

注意：问题是如果用户可以控制字符串、变量名和值，使用过程是否安全，string.Template而不是接下来字符串会发生什么。

您需要用 Python 编写一个可以在 Windows 和 Linux 上运行的程序。但是 pycrypto 库在 Windows 上安装为Crypto，在 Kali Linux 上安装为Cryptodome.如何让我的代码在 Windows 和 Linux 上无需任何更改即可运行？

我尝试这样做：

try:
    import Crypto
except ModuleNotFoundError:
    import Cryptodome as Crypto

但是使用这样的实现，会出现导入子模块的问题，例如 等Crypto.Cipher，Crypto.Hash也就是说，对于每个子模块，您都必须编写一个单独的 try-except 块，但在文件最开头的这种构造不会甚至看起来非常好。有没有更“漂亮”的方法来做到这一点？