В документации Python указано, что pickle
не является безопасным и не должен анализировать ненадежный пользовательский ввод. Если вы исследуете это; почти все примеры демонстрируют это с помощью вызова system()
через os.system
.
Что мне непонятно, так это то, как os.system
правильно интерпретируется без импорта модуля os
.
>>> import pickle
>>> pickle.loads("cos\nsystem\n(S'ls /'\ntR.") # This clearly works.
bin boot cgroup dev etc home lib lib64 lost+found media mnt opt proc root run sbin selinux srv sys tmp usr var
0
>>> dir() # no os module
['__builtins__', '__doc__', '__name__', '__package__', 'pickle']
>>> os.system('ls /')
Traceback (most recent call last):
File "<stdin>", line 1, in <module>
NameError: name 'os' is not defined
>>>
Кто-нибудь может объяснить?