>
>
>
>
>]>
>&lol9;
Плохая новость: миллиард усмешек подорвет работоспособность всех XML-библиотек, упомянутых в предыдущем разделе. На ресурсе Defused XML (https://bitbucket.org/tiran/defusedxml) эта и другие атаки перечислены наряду с уязвимостями библиотек Python. Перейдя по этой ссылке, вы увидите, как изменять настройки многих библиотек так, чтобы избежать этих проблем. Вы также можете использовать библиотеку defusedxml как внешний интерфейс безопасности для других библиотек:
>>>> # insecure:
>>>> from xml.etree.ElementTree import parse
>>>> et = parse(xmlfile)
>>>> # protected:
>>>> from defusedxml.ElementTree import parse
>>>> et = parse(xmlfile)
Большинство программ предлагают различные параметры или настройки. Динамические настройки могут быть переданы как аргументы программы, но долговременные настройки должны где-то храниться. Искушение определить собственный формат конфигурационного файла быстро и неаккуратно очень сильно, но вы должны устоять. Как правило, результат получаем неаккуратно, но не очень быстро. Вам нужно обслуживать как программу-писатель, так и программу-читатель (которая иногда называется парсером). Существуют хорошие альтернативы, которые вы можете добавить в свою программу, включая те, что были показаны в предыдущих разделах.
Здесь мы используем стандартный модуль configparser, который обрабатывает файлы с расширением. ini, характерные для Windows. Такие файлы имеют разделы, содержащие определения ключ = значение. Так выглядит минимальный файл settings.cfg:
>[english]
>greeting = Hello
>[french]
>greeting = Bonjour
>[files]
>home = /usr/local
># simple interpolation:
>bin = %(home)s/bin
А так выглядит код, который позволяет считать его и разместить в структурах данных:
>>>> import configparser
>>>> cfg = configparser.ConfigParser()
>>>> cfg.read('settings.cfg')
>['settings.cfg']
>>>> cfg
>
>>>> cfg['french']
>
>>>> cfg['french']['greeting']
>'Bonjour'
>>>> cfg['files']['bin']
>'/usr/local/bin'
Доступны и другие опции, включая более мощную интерполяцию. Обратитесь к документации configparser (http://bit.ly/configparser). Если вам нужно более двух уровней вложенности, попробуйте использовать YAML или JSON.