eval()関数は何をしますか？

eval()関数は、文字列として渡されたPythonコードを評価し、その結果を返します。計算式や変数を含むコードを動的に実行する際に使用されます。

eval()関数の主なリスクは何ですか？

eval()は任意のPythonコードを実行できるため、外部からの入力をそのまま評価すると、セキュリティ上のリスクがあります。不正なコードが実行される可能性があるため、信頼できる入力のみ使用するように注意が必要です。

eval()とexec()の違いは何ですか？

eval()は式を評価してその結果を返すのに対し、exec()は文全体を実行しますが、結果は返しません。eval()は主に1行の式に使用されますが、exec()は複数行のコードを実行するために使われます。

【Python】evalについて - 動的にPythonコードを実行する方法

Pythonの eval() 関数は、文字列として渡されたPythonの式を動的に評価・実行するための強力なツールです。たとえば、数式やPythonコードを文字列で受け取り、その内容を実行して結果を得ることができます。ただし、その便利さゆえにセキュリティリスクも伴います。この記事では、 eval() の使い方や応用例、注意すべき点について詳しく解説します。

eval()関数とは？

eval() 関数は、文字列として渡された Pythonの式（計算式や変数の操作など）を実行し、その結果を返す組み込み関数です。動的にコードを実行する必要がある場面で非常に便利ですが、適切に使用しないと危険を伴う可能性があります。

基本的な構文

eval(expression, globals=None, locals=None)

expression：評価されるPythonの式（文字列で指定）。
globals（オプション）：グローバル名前空間を指定。
locals（オプション）：ローカル名前空間を指定。 eval() は、渡された式を文字列として評価し、その結果を返します。

eval()の使用例

基本的な使用例

まずは、単純な計算式を文字列で渡し、eval() で評価する例を見てみましょう。

expression = "2 + 3 * 5"
result = eval(expression)
print(result)  # 出力: 17

この例では、文字列 "2 + 3 * 5" を評価し、その計算結果である 17 が返されます。eval() に渡す式は、Pythonのコードであれば何でも使用できます。

変数を含む例

eval() 関数を使うと、動的に変数を使った式を評価することもできます。

x = 10
expression = "x * 2 + 3"
result = eval(expression)
print(result)  # 出力: 23

この例では、変数 x が式の中で使用されており、その値に基づいて計算が行われます。eval() は、現在のスコープで定義された変数を使って式を評価します。

関数を使った例

関数も eval() の式の中で使用することが可能です。

def square(n):
    return n * n
expression = "square(4)"
result = eval(expression)
print(result)  # 出力: 16

このように、eval() を使って関数の呼び出しを動的に実行することができます。

eval()を使う利点

動的コードの実行

eval() の最大の利点は、動的にコードを実行できる点です。ユーザーからの入力や外部データをもとに、異なる式を評価したり、カスタマイズされた処理を実行したい場合に非常に有用です。

計算式の評価

数式をユーザー入力から受け取り、その式を評価して結果を得るといったケースで便利です。例えば、簡単な電卓アプリケーションなどで、ユーザーが入力した数式を評価する際に使えます。

expression = input("計算式を入力してください: ")  # 例: 10 + 5 * 2
result = eval(expression)
print(f"結果: {result}")

スクリプト言語のような柔軟性

eval() を使うことで、スクリプトのような柔軟な構文解析が可能です。たとえば、外部から取得したデータを使って、動的にPythonコードを実行するケースにも対応できます。

eval()のセキュリティリスク

eval() は強力な機能を持っていますが、その反面、非常に危険な側面もあります。特に、外部からの入力をそのまま eval() に渡すと、悪意のあるコードが実行される可能性があります。たとえば、ユーザーが意図的に危険なコードを入力し、それが eval() によって実行されると、システムに被害を与えることがあります。

危険なコードの例

expression = "import os; os.system('rm -rf /')"  # 危険なコマンド
eval(expression)  # システム上のファイルが削除される可能性がある

このように、eval() を使ってシステムコマンドを実行するコードが含まれている場合、非常に危険です。ユーザーが悪意のあるコマンドを入力してしまうと、システムのデータが削除されたり、セキュリティが侵害される可能性があります。

セキュリティ対策

eval() を安全に使用するためには、以下の対策を取ることが推奨されます。

信頼できる入力のみを評価：外部からの入力やユーザーの入力を直接 eval() に渡さないようにすることが重要です。
制限付きの名前空間を使用：globals や locals パラメータを使い、安全な名前空間に制限することで、システムコマンドなどが実行されるのを防げます。

# 制限付きで安全に eval を実行する
expression = "x + 2"
safe_globals = {"x": 10}
safe_locals = {}
result = eval(expression, safe_globals, safe_locals)
print(result)  # 出力: 12

この例では、eval() がアクセスできる変数を globals と locals パラメータで制限し、安全に式を評価しています。

eval()とexec()の違い

Pythonには exec() という、複数行のコードを実行するための関数もありますが、eval() とはいくつかの違いがあります。

eval() は1つの式（式の評価結果を返す）を実行するために使います。
exec() は文（複数行や複雑なコード全体）を実行しますが、結果は返しません。

exec()の使用例

code = """
for i in range(3):
    print(i)
"""
exec(code)
# 出力:
# 0
# 1
# 2

exec() はプログラムの一部として複数行のコードを実行できますが、結果を返さないため、式の評価を行いたい場合には eval() のほうが適しています。

eval()を使った応用例

動的なフィルタリング

eval() を使って、動的に条件を指定したフィルタリングが行えます。たとえば、リストの要素に対して動的に条件を指定してフィルタリングを行う場合、次のように eval() を使うことができます。

data = [1, 2, 3, 4, 5, 6, 7, 8, 9]
condition = "x > 5"
filtered_data = [x for x in data if eval(condition)]
print(filtered_data)  # 出力: [6, 7, 8, 9]

この例では、条件式 "x > 5" を動的に評価し、リストの要素をフィルタリングしています。

まとめ

Pythonの eval() 関数は、動的にコードを実行するための非常に強力なツールです。数式の評価や動的な条件処理に便利で、ユーザー入力を柔軟に扱うことができます。しかし、その強力さゆえにセキュリティリスクが伴うため、信頼できる入力だけを使う、あるいは名前空間を制限するなどの対策が必要です。eval() を安全に使いこなすことで、柔軟なプログラムを効率的に書けるようになるでしょう。

参照:

eval()（`Python`公式ドキュメント）