为什么“ a == b或c或d”总是评估为True？

108

我正在编写一个拒绝对未授权用户进行访问的安全系统。

import sys

print("Hello. Please enter your name:")
name = sys.stdin.readline().strip()
if name == "Kevin" or "Jon" or "Inbar":
    print("Access granted.")
else:
    print("Access denied.")

它可以按预期授予授权用户访问权限，但也允许未经授权的用户使用！

Hello. Please enter your name:
Bob
Access granted.

为什么会发生这种情况？我已经明确指出仅在name等于Kevin，Jon或Inbar 时才授予访问权限。我也尝试过相反的逻辑if "Kevin" or "Jon" or "Inbar" == name，但是结果是一样的。

python boolean boolean-expression

— 凯文
source

1

@Jean-François仅供参考，之前在python室中对此问题及其受骗对象进行了一些讨论，讨论从这里开始。我了解您是否希望将其关闭，但我认为您可能想知道最近重新打开该帖子的原因。全面披露：关于伪造目标的答案的作者马丁（Martijn）尚无时间对此事进行讨论。

— 安德拉斯·迪克

Martijn的回答很好，用“不要使用自然语言”来解释它，其他的，……那是光荣的投票时期……下面的回答只不过是重复一遍。对我来说，这是重复的。但是，如果马丁（Martijn）选择重新开放，那我不介意。

— 让·弗朗索瓦·法布尔

4

这个问题的变化包括x or y in z，x and y in z，x != y and z和其他几个人。尽管与该问题并不完全相同，但根本原因是所有这些问题都相同。只是想指出这一点，以防万一有人将其问题作为重复的问题而关闭，并且不确定该问题与他们的关系如何。

— 阿兰·菲

如何针对一个值测试多个变量的

— pppery

151

在许多情况下，Python的外观和行为都像自然的英语，但这是这种抽象失败的一种情况。人们可以使用上下文线索来确定“ Jon”和“ Inbar”是与动词“ equals”连接的对象，但是Python解释器具有更多的字面意义。

if name == "Kevin" or "Jon" or "Inbar":

在逻辑上等效于：

if (name == "Kevin") or ("Jon") or ("Inbar"):

对于用户Bob而言，这等效于：

if (False) or ("Jon") or ("Inbar"):

该or运营商选择以积极的第一个参数真值：

if ("Jon"):

并且由于“ Jon”具有正的真值，因此if执行该块。这就是导致无论给定名称如何都将打印“授予访问权限”的原因。

所有这些推理也适用于表达式if "Kevin" or "Jon" or "Inbar" == name。第一个值，"Kevin"则为true，因此将if执行该块。

正确构造此条件有两种常用方法。

使用多个==运算符来显式检查每个值：
if name == "Kevin" or name == "Jon" or name == "Inbar":
组成一个有效值序列，并使用in运算符测试成员资格：
if name in {"Kevin", "Jon", "Inbar"}:

一般而言，第二个应该是首选，因为它更易于阅读，而且速度更快：

>>> import timeit
>>> timeit.timeit('name == "Kevin" or name == "Jon" or name == "Inbar"', setup="name='Inbar'")
0.4247764749999945
>>> timeit.timeit('name in {"Kevin", "Jon", "Inbar"}', setup="name='Inbar'")
0.18493307199999265

对于那些可能想要if a == b or c or d or e: ...如此解析的证据的人。内置ast模块提供了答案：

>>> import ast
>>> ast.parse("if a == b or c or d or e: ...")
<_ast.Module object at 0x1031ae6a0>
>>> ast.dump(_)
"Module(body=[If(test=BoolOp(op=Or(), values=[Compare(left=Name(id='a', ctx=Load()), ops=[Eq()], comparators=[Name(id='b', ctx=Load())]), Name(id='c', ctx=Load()), Name(id='d', ctx=Load()), Name(id='e', ctx=Load())]), body=[Expr(value=Ellipsis())], orelse=[])])"
>>>

因此test，该if语句的如下所示：

BoolOp(
 op=Or(),
 values=[
  Compare(
   left=Name(id='a', ctx=Load()),
   ops=[Eq()],
   comparators=[Name(id='b', ctx=Load())]
  ),
  Name(id='c', ctx=Load()),
  Name(id='d', ctx=Load()),
  Name(id='e', ctx=Load())
 ]
)

人们可以看到，它的布尔运算符or应用于多个values，即a == b和c，d和e。

— 凯文
source

有特定的原因选择元组("Kevin", "Jon", "Inbar")而不是集合{"Kevin", "Jon", "Inbar"} 吗？

— 人类

2

并非如此，因为如果所有值都是可哈希的，那么两者都可以工作。集合成员资格测试比元组成员资格测试具有更好的big-O复杂性，但是构造集合要比构造元组昂贵。我认为这对于像这样的小收藏品来说是很大的洗礼。与timeit一起玩的速度大约a in {b, c, d}是a in (b, c, d)我机器上的两倍。如果这是对性能至关重要的代码，则需要考虑一下。

— 凯文

3

在'if'子句中使用'in'时的元组或列表？建议为会员测试设置字面量。我将更新我的帖子。

— 凯文

在现代Python中，它认识到集合是一个常量，frozenset而是使其成为一个常量，因此不存在构造集合的开销。dis.dis(compile("1 in {1, 2, 3}", '<stdin>', 'eval'))

— Endlith

1

简单的工程问题，让我们再简单一点。

In [1]: a,b,c,d=1,2,3,4
In [2]: a==b
Out[2]: False

但是，Python继承自语言C，因此将非零整数的逻辑值评估为True。

In [11]: if 3:
    ...:     print ("yey")
    ...:
yey

现在，Python建立在该逻辑的基础上，让您使用诸如或基于整数的逻辑文字。

In [9]: False or 3
Out[9]: 3

最后

In [4]: a==b or c or d
Out[4]: 3

编写它的正确方法是：

In [13]: if a in (b,c,d):
    ...:     print('Access granted')

为了安全起见，我还建议您不要对密码进行硬编码。

— 用户名
source

1

有3个条件检查 if name == "Kevin" or "Jon" or "Inbar":

名称==“凯文”
“乔恩”
“ Inbar”

这个if语句等效于

if name == "Kevin":
    print("Access granted.")
elif "Jon":
    print("Access granted.")
elif "Inbar":
    print("Access granted.")
else:
    print("Access denied.")

由于elif "Jon"将始终为真，因此授予对任何用户的访问权限

解

您可以使用以下任何一种方法

快速

if name in ["Kevin", "Jon", "Inbar"]:
    print("Access granted.")
else:
    print("Access denied.")

慢

if name == "Kevin" or name == "Jon" or name == "Inbar":
    print("Access granted.")
else:
    print("Access denied.")

慢+不必要的代码

if name == "Kevin":
    print("Access granted.")
elif name == "Jon":
    print("Access granted.")
elif name == "Inbar":
    print("Access granted.")
else:
    print("Access denied.")

— 7u5h4r
source