Pythonのeval()とは？意味をわかりやすく簡単に解説

公開：2024年10月31日更新：2026年4月30日

CodeCampが提供するDX人材育成が可能なプログラミングやITが学べる公開講座

eval()とは
eval()の活用と注意点
eval()の基本的な使用方法
eval()のセキュリティリスク
eval()の代替手段と安全な使用法

eval()とは

Pythonの組み込み関数であるeval()は、文字列として与えられたPythonコードを動的に評価し実行するものです。この関数はプログラムの実行中に、新しいコードを生成して実行する柔軟性を提供します。eval()の使用にはセキュリティリスクを伴う可能性がありますが、適切に使用すれば非常に便利なツールとなります。

eval()関数は文字列として渡された式や文を評価し、その結果を返します。これによりプログラムの実行時に動的にコードを生成し、即座に実行することが可能です。数学的な式の計算や動的なコマンド実行など、さまざまな場面で活用されます。

eval()の使用には慎重を要し、ユーザー入力を直接eval()に渡すことは避けるべきです。悪意のあるコードが実行される危険性があるのがその理由です。代わりにast.literal_eval()などの安全な代替手段を使用するか、入力を厳密にバリデーションすることが推奨されます。

Python研修一覧はこちら

目的に合うPython研修を一覧形式から探したい方は、ぜひご利用ください。

Python研修を比較する

Java研修一覧はこちら

目的に合うJava研修を一覧形式から探したい方は、ぜひご利用ください。

Java研修を比較する

PHP研修一覧はこちら

目的に合うPHP研修を一覧形式から探したい方は、ぜひご利用ください。

PHP研修を比較する

新入社員研修

目的に合う新入社員研修を一覧形式から探したい方は、ぜひご利用ください。

新入社員研修を比較する

全ての研修からも探したい方はこちら

eval()の活用と注意点

eval()の活用と注意点について、以下3つを簡単に解説します。

eval()の基本的な使用方法
eval()のセキュリティリスク
eval()の代替手段と安全な使用法

eval()の基本的な使用方法

eval()関数は文字列として与えられたPythonの式を評価し、その結果を返す強力なツールです。この関数を使用することでプログラムの実行中に動的にコードを生成し、即座に実行することが可能。特に数学的な式の評価や、コンフィグファイルからの設定の読み込みなどに有効です。

result = eval('2 + 3 * 4')
print(result)  # 出力: 14

x = 10
y = 5
result = eval('x * y')
print(result)  # 出力: 50

上記の例ではeval()を使用し、簡単な数学的な式を評価しています。最初の例では文字列'2 + 3 * 4'が評価され、結果の14が返されます。二番目の例では変数xとyの値を使用した式'x * y'が評価され、結果の50が返されます。

eval()は辞書型オブジェクトを二つ目の引数として受け取ることも可能。これにより評価する式の中で使用される変数の名前空間を指定できます。この機能を利用することで、eval()の実行環境をより細かく制御できます。

Python基礎・実践(Django)

企業・法人向けのPython研修では、基礎から応用まで体系的に学べます。

Python研修の詳細

DX社員研修

企業・法人向けのDX研修では、実務に繋がるリスキリングでITレベルを向上させます。

DX研修の詳細

Javaエンジニア育成研修

企業・法人向けのJavaエンジニア育成研修では、Javaの基礎から応用まで確実に習得できます。

Java研修の詳細

新卒・新入社員向け研修

企業・法人に新入社員・新卒社員に向けたプログラミング研修を提供しています。

新入社員研修の詳細

コードキャンプのIT研修を全て見る

eval()のセキュリティリスク

eval()関数は非常に強力ですが、同時に重大なセキュリティリスクをもたらす可能性があるので注意が必要です。特にユーザーからの入力を直接eval()に渡すことは、極めて危険な行為とされています。悪意のあるユーザーがシステムに損害を与えるコードを注入する可能性があるためです。

# 危険な使用例（絶対に避けるべき）
user_input = input("式を入力してください: ")
result = eval(user_input)  # セキュリティリスクあり

上記の例ではユーザーの入力を直接eval()に渡しています。これにより悪意のあるユーザーが'__import__("os").system("rm -rf /")'のような危険なコードを入力し、システムに深刻な損害を与える可能性があります。このようなコードは重要なファイルを削除するなど、破壊的な動作を引き起こす恐れがあるので絶対に避けるべきです。

eval()を使用する際は入力の検証を厳密に行うか、安全性が確保された代替手段を使用することが重要です。特にWebアプリケーションやネットワーク経由でデータを受け取る場合は、eval()の使用を避けるべきでしょう。セキュリティを確保しつつ、同様の機能を実現する方法を検討することが推奨されます。

eval()の代替手段と安全な使用法

eval()の代替手段として、ast.literal_eval()関数が挙げられます。この関数は文字列として与えられたPythonのリテラルを安全に評価します。ast.literal_eval()は数値や文字列、リスト、タプル、辞書、集合などの基本的なデータ型のみを評価し、任意のコードの実行を防ぎます。

import ast

safe_input = "{'a': 1, 'b': 2}"
result = ast.literal_eval(safe_input)
print(result)  # 出力: {'a': 1, 'b': 2}

上記の例ではast.literal_eval()を使用し、文字列として与えられた辞書リテラルを安全に評価しています。この方法では任意のPythonコードの実行を防ぎつつ、基本的なデータ構造を評価できます。ast.literal_eval()はeval()よりも制限が厳しいため、より安全な選択肢となるのです。

eval()を使用する必要がある場合は、入力を厳密にバリデーションすることが不可欠です。正規表現を使用して入力を検証したり、許可するトークンのホワイトリストを作成したりするなどの方法が考えられます。また、eval()の実行環境を制限するためにグローバル変数や、組み込み関数へのアクセスを制限することも効果的です。

※上記コンテンツの内容やソースコードはAIで確認・デバッグしておりますが、間違いやエラー、脆弱性などがある場合は、コメントよりご報告いただけますと幸いです。