在编写配置文件时使用 ConfigParser 而不是常规的 python.py 文件有什么好处？

Question

我使用 ConfigParser 模块编写配置文件已经有一段时间了。然而，最近我突然想到一个想法：为什么不直接使用纯 Python 呢？以这个配置文件为例：

[parameters]
# Host
host = stackoverflow.com
port = 22

要将这些值读入我的代码，我会这样做

import ConfigParser
config = ConfigParser.SafeConfigParser()
config.read('host.cfg')

host = config.get('parameters', 'host')
port = config.get('parameters', 'port')

另一方面，如果我有一个像这样的配置文件：

# Host
host = 'stackoverflow.com'
port = 22

在我的主代码中，我可以这样做：

from host_cfg import *

那么使用 ConfigParser 模块我能得到什么？每种方法的优点和缺点是什么？

Answer 1

那么使用 ConfigParser 模块我能得到什么？

与 Windows .ini 文件兼容。让一些人感到高兴。

每种方法的优缺点是什么？

ConfigParser 的语法有限，一些相对简单的事情变得非常做作。查看日志记录示例。

Python 语法更简单，更容易使用。不存在安全漏洞，因为当他们可以简单地破解您的源代码时，没有人会浪费时间破解配置文件。事实上，他们可以破解大部分内置 Python 库。就此而言，他们可以自行编写 Python 解释器。

当应用程序源代码中的其他地方存在非常非常容易的漏洞时，没有人会浪费时间破解配置文件。

Answer 2

ConfigParser 解析简单、平面的配置数据。导入 python 模块会运行代码。对于配置文件，您需要数据，而不是代码。案件结案。

好吧，更详细的是：代码可以做各种各样的事情，包括更容易破坏 - 特别是当由非程序员编辑时（尝试向 .ini modders 解释，他们必须使用匹配的引号并转义事物。 ..) - 或导致命名空间与应用程序的其他部分发生冲突（特别是如果您 import *）。另请参阅最小功率规则。

Answer 3

Python 文件方法的一个潜在“缺点”是您的用户可以将任意代码放入将在您的应用程序上下文中执行的文件中。正如 S. Lott 在这个答案的评论中指出的那样（当我的警告更加有力时），这通常不是问题，因为用户（或黑客）通常可以访问您的整个源代码，并且可以进行任何所需的更改。

但是，我当然可以想象这种方法可能会导致新的安全漏洞的情况，例如当主脚本文件只能由系统管理员写入并且每用户配置文件是最终用户唯一可编辑的文件时。除非你确定你的代码永远不会在这样的环境中运行，否则我不会推荐 Python 模块方法。 “不执行用户提供给您的代码”被广泛认为是最佳实践是有充分理由的。

执行配置文件也会导致处理错误出现问题。如果用户引入了语法错误，您将希望捕获它，并且可以通过在 import 周围抛出 try 来轻松实现此目的，但错误后不会出现任何内容被执行。在配置文件中，通常解析将继续下一行，因此用户最多会错过一个设置，而不是（比如说）一半。有多种方法可以使 Python 模块更像配置文件（例如，您可以将文件作为文本读取，并每行执行 exec() ），但如果您必须做任何工作，使用 ConfigParser 变得更容易。

尽管如此，如果您仍然想在配置文件中使用 Python 语法，则可以使用 ast 模块（请参阅函数 literal_eval()）。