如果你经常用Python，一定对F-strings不陌生——它简洁、高效，一行代码就能让字符串和变量无缝拼接，堪称“代码美颜神器”。但你知道吗？这个看似人畜无害的功能，如果使用不当，可能会让你的程序“门户大开”，甚至被黑客直接“接管”服务器！

今天，我们就来扒一扒F-strings那些容易被忽视的安全隐患，手把手教你避坑！

场景1：用户输入=代码炸弹？动态表达式暗藏杀机

想象一下：你写了一个功能，允许用户输入名字，然后用F-strings生成欢迎语。代码看似简单：

name = input("请输入你的名字：")

print(f"欢迎，{name}！") # 看似安全但如果用户输入的不是名字，而是{os.system("rm -rf /")}呢？

——别慌！这种情况下，F-strings只会把这段代码当作普通字符串输出，并不会执行（因为表达式只能访问已有变量）。

但！如果用户能控制整个表达式内容，比如下面这段代码：

user_code = "__import__('os').system('格式化C盘')"  # 恶意输入

dynamic_fstring = f"print({user_code})"  # 动态生成F-string

exec(dynamic_fstring)  # 直接执行危险操作！此时，F-strings的表达式被动态拼接，再通过exec执行，相当于让用户随意编写代码——你的程序瞬间变成黑客的“提线木偶”！

避坑指南：

• 绝对禁止将用户输入直接拼接到F-strings的表达式（{}内部）！

• 若必须动态执行代码，严格过滤输入（如移除import、os等关键字），或用沙箱环境隔离。

场景2：一个花括号，泄露整个数据库？

假设你开发了一个日志系统，允许用户自定义日志格式：

user_format = input("请输入日志格式（如{user_id}）：")  # 用户输入"{database.password}"

log_message = user_format.format(user_id=123, database=db_config)  # 泄露密码！这里用了传统的.format()方法，但如果用户输入的格式字符串包含敏感变量名（比如{database.password}），而你的代码又恰好将这些变量暴露出去，就会导致数据库密码、API密钥等敏感信息泄露！

F-strings虽不直接涉及此类问题，但如果你用eval动态生成F-strings：

user_expr = "os.environ['SECRET_KEY']"  # 用户输入

result = eval(f"f'{{ {user_expr} }}'")  # 直接读取环境变量中的密钥！这就相当于把锁钥交给用户，让他们随意查看服务器隐私！

避坑指南：

• 禁止用户控制格式字符串的变量名。

• 使用白名单机制，只允许用户选择预定义的字段（如{user_id}、{timestamp}）。

场景3：SQL注入！这个坑F-strings也背锅？

很多开发者习惯用F-strings拼接SQL语句：

query = f"SELECT * FROM users WHERE name = '{user_input}'"  # 用户输入"admin' OR 1=1 --"

cursor.execute(query)  # 直接拼接，危险！此时，用户输入admin' OR 1=1 --会导致查询变成：

SELECT * FROM users WHERE name = 'admin' OR 1=1 --'轻松绕过登录验证，甚至拖走整个用户表！

但注意：这锅不该F-strings背！ 所有字符串拼接方法（如%s、+）都有此问题。真正安全的做法是：

# 使用参数化查询（以SQLite为例）

cursor.execute("SELECT * FROM users WHERE name = ?", (user_input,))

避坑指南：

• 永远不要用F-strings拼接SQL/Shell命令！

• 坚持使用参数化查询或ORM工具（如SQLAlchemy）。

场景4：日志系统崩溃，竟是因为一个花括号？

你写了一段日志代码：

import logging

logging.basicConfig(format="[%(levelname)s] %(message)s")

error_msg = "用户{user_id}执行失败，错误码：{error_code}"

logging.error(error_msg)  # 如果error_msg含未定义的变量，直接报错！若error_msg中包含未定义的变量（如用户输入了{file_path}），日志系统会抛出KeyError，甚至导致程序崩溃！

F-strings的“提前解析”特性反而能避免这一问题（因为它定义时即固定变量），但核心原则不变：日志内容应作为纯文本处理，避免解析变量。

避坑指南：

• 对用户输入的日志内容做转义处理：error_msg.replace("{", "{{").replace("}", "}}")

• 或用安全写法：logging.error("%s", user_input)

5 条安全防御规则

1. 表达式隔离：确保F-strings的{}内仅为静态变量，而非用户输入。

2. 危险操作“去动态化”：禁止用eval/exec执行动态生成的F-strings。

3. 敏感操作“工具化”：SQL用参数化查询，命令用subprocess（而非os.system）。

4. 输入过滤“白名单”：用户只能选择预设字段，而非自由输入格式。

5. 日志“非解析”原则：始终将用户输入视为纯文本，彻底转义特殊符号。

F-strings是把双刃剑，本身并无漏洞，真正危险的是开发者对用户输入的过度信任。就像再锋利的菜刀，正确使用能事半功倍，胡乱挥舞却会伤及自身。