Python 日志记录：从字符串插值转向百分比格式化

PyLint 的 logging-format-interpolation 警告：用百分比格式化替代字符串插值

简介

如果你正在使用 Python 的日志记录模块，你可能会遇到 PyLint 的 logging-format-interpolation 警告。这个警告建议你在日志记录函数中使用百分比（%）格式化，而不是字符串插值（即 format 函数）。

为什么会出现这个警告？

在 Python 2 中，字符串插值是格式化日志消息的惯例。然而，在 Python 3 中，日志记录模块得到了增强，并引入了对百分比格式化的支持。与字符串插值相比，百分比格式化提供了诸多优势：

• 性能更好： 字符串插值需要在运行时评估表达式，而百分比格式化则不然。
• 更安全： 字符串插值可能存在安全风险，因为用户提供的输入可以被恶意利用来执行代码注入攻击。
• 可读性更强： 百分比格式化比字符串插值更简洁、更易读。

如何解决这个问题？

为了解决 logging-format-interpolation 警告，你需要在日志记录函数中使用百分比格式化，而不是字符串插值。以下是一个示例：

# 字符串插值
logger.debug('message: {}'.format('test'))

# 百分比格式化
logger.debug('message: %s', 'test')

百分比格式化的语法

百分比格式化遵循以下语法：

'%[标志][宽度][.精度]类型'

其中：

• 标志： 可选，指定对齐方式（-）、填充字符（0）等。
• 宽度： 可选，指定要填充的字符数。
• 精度： 可选，指定要输出的字符数（对于浮点数）或小数位数（对于整型）。
• 类型： 指定要格式化的值的类型（例如，s 表示字符串，d 表示整型）。

更多信息

有关 Python 日志记录百分比格式化的更多信息，请参阅以下资源：

• Python 日志记录官方文档
• PyLint 日志记录指南

结论

使用百分比格式化而不是字符串插值来格式化日志消息是 Python 3 中的最佳实践。它提供了性能、安全性和可读性方面的优势。PyLint 的 logging-format-interpolation 警告旨在帮助你识别和解决这个问题，从而提高你的代码质量。

常见问题解答

1. 为什么字符串插值在 Python 3 中被认为不安全？

字符串插值在 Python 3 中被认为不安全，因为用户提供的输入可能会被恶意利用来执行代码注入攻击。例如，考虑以下代码：

logger.debug('message: {}'.format(user_input))

如果 user_input 包含一个格式化字符串（例如，{}.__repr__()），它可能会被用来执行任意代码。

2. 百分比格式化可以防止代码注入攻击吗？

是的，百分比格式化可以防止代码注入攻击，因为它不会评估用户提供的输入。相反，它将输入作为字符串进行格式化。

3. 字符串插值和百分比格式化的性能差异有多大？

字符串插值的性能差异取决于表达式和格式字符串的复杂性。一般来说，百分比格式化在大多数情况下更快。

4. 百分比格式化的可读性是如何更好的？

百分比格式化更简洁，更容易理解。例如，以下代码使用百分比格式化：

logger.debug('message: %s', 'test')

而以下代码使用字符串插值：

logger.debug('message: {}'.format('test'))

百分比格式化的代码更清晰，更容易理解。

5. PyLint 的 logging-format-interpolation 警告只适用于日志记录函数吗？

不，logging-format-interpolation 警告也适用于其他支持字符串格式化的函数，例如 print 函数。