,大家想一想,你有没有遇到过这样的情况:有时候,你访问一个网站,它突然给你下载了一些东西。尤其是当你使用Chrome时,浏览器会自动帮你下载到“下载”文件夹中,如下图所示:大多数时候,你只是关闭了Chrome的提示,并没有主动删除下载的文件。自动下载的文件将保留在您的“下载”文件夹中。你想,只要我不强制,我就没事。但事实真的如此吗?让我们看看下面的图片。python3-mpipinstallrequests是一个简单而熟悉的命令,我们已经执行了无数次。它今天崩溃了。电脑被格式化了。哪里有问题?问题就在这里:当我们执行python3-mpipinstallxxx时,Python会在你当前运行这条命令的文件夹下寻找一个名为pip.py的文件。如果有这个文件,那么执行python3-mpipinstallxxx就相当于执行python3pip.pyinstallxxx。如果这个pip.py文件中有恶意代码,那你就翻车了。如果恶意用户想要攻击Python开发者,可以自行创建Python相关网站。当用户访问该网站时,他们会悄悄地下载一个pip.py到你的电脑上。如果有人正好在下载文件夹中执行python3-mpipinstallxxx安装某个库,那么这时候就会触发恶意攻击代码,你就会上当受骗。尤其是遇到不懂得科学上网的用户,直接使用pip经常会出现网络超时的问题,于是恶意网站“友善”的给他们提供了.whl包的官方下载地址。用户一看是官方地址,也就放松了警惕。这样,当用户用浏览器从官网下载包时,正好下载到了“Downloads”文件夹中。这么多用户顺理成章,直接cd~/Downloadspython3-mpipinstallxxx.whl悲剧就发生了。
