模板字符串（t-strings）正式被纳入Python 3.14的特性，预计将于2025年晚些时候推出。这一新特性为Python的字符串处理带来了更安全、更灵活的方式。 ### f-strings的局限性 自Python 3.6引入以来，f-strings因其简洁、易读和功能强大而受到了开发者们的青睐。然而，f-strings在处理包含用户输入的字符串时存在安全隐患，如SQL注入和跨站脚本攻击（XSS）。例如，使用f-string构建SQL查询或HTML片段时，如果用户输入的值包含恶意代码，可能导致严重的安全问题。 ### t-strings的引入 t-strings可以看作是f-strings的通用化版本。与f-strings不同的是，t-strings不会立即生成最终的字符串，而是返回一个 `string.templatelib.Template` 类型的实例。这些实例需要经过处理才能生成最终的字符串，这为在处理过程中安全地转义动态内容提供了可能。 #### 示例：安全处理HTML ```python from string.templatelib import Template evil = "<script>alert('bad')</script>" template = t"<p>{evil}</p>" safe = html(template) assert safe == "<p>&lt;script&gt;alert('bad')&lt;/script&gt;</p>" ``` 在这个例子中，`html()` 函数接收一个 `Template` 对象并返回一个安全转义的字符串，有效地防止了XSS攻击。 #### 更灵活的字符串处理 t-strings不仅提升了安全性，还增加了字符串处理的灵活性。例如，`html()` 函数可以返回一个新的 `HTMLElement` 类型，或者接受HTML中的多种有用替换： ```python attributes = {"src": "roquefort.jpg", "alt": "Yum"} template = t"<img {attributes} />" element = html(template) assert str(element) == "<img src='roquefort.jpg' alt='Yum' />" ``` ### 如何使用t-strings `Template` 类提供了访问字符串和插入值的方法，可以在处理之前获取这些内容。`Template` 对象有 `.strings` 和 `.values` 属性，分别返回字符串和插入值的元组： ```python name = "World" template = t"Hello {name}!" assert template.strings == ("Hello ", "!") assert template.values == (name,) ``` `Template` 对象还可以直接迭代： ```python name = "World" template = t"Hello {name}!" contents = list(template) assert contents[0] == "Hello " assert contents[1].value == name assert contents[2] == "!" ``` ### 高级用法 开发人员可以访问每一个插值的详细信息，这对于处理复杂字符串非常有用： ```python name = "World" template = t"Hello {name!s:>8}!" assert template.interpolations[0].value == name assert template.interpolations[0].expression == "name" assert template.interpolations[0].conversion == "s" assert template.interpolations[0].format_spec == ">8" ``` ### 直接实例化模板 `Template` 类还支持直接实例化，字符串和插值可以在构造函数中按任意顺序提供： ```python from string.templatelib import Template, Interpolation template = Template( "Hello ", Interpolation(value="World", expression="name"), "!" ) ``` ### 实例：简单的t-string处理 假设我们需要将所有替换的单词转换为“pig latin”（ vehicle），这只需一个简单函数即可实现： ```python def pig_latin(template: Template) -> str: """将模版转换为pig latin。""" result = [] for item in template: if isinstance(item, str): result.append(item) else: word = item.value if word and word[0] in "aeiou": result.append(word + "yay") else: result.append(word[1:] + word[0] + "ay") return "".join(result) name = "world" template = t"Hello {name}!" assert pig_latin(template) == "Hello orldway!" ``` ### 未来展望 t-strings的引入将使Python的字符串处理更安全、更灵活。希望这一特性能在处理用户输入的各类库和框架中得到广泛应用。此外，工具生态系统也应适应这一新特性，例如代码格式化工具black和ruff支持t-string的格式化，以及代码编辑器vscode对t-string内容进行语法高亮。 t-strings是Python社区共同努力的成果。该项目的作者Dave Peck与Jim、Paul、Koudai、Lysandros和Guido等Python核心开发者紧密合作，同时也得到了广泛社区成员的支持和反馈。t-strings的成功离不开他们的贡献。 ### 业内评价 行业内普遍认为，t-strings的引入将进一步提升Python的安全性和易用性。Python作为一种广泛使用的编程语言，这一新特性将对许多开发者产生积极影响。 texture