17370845950

Python读写YAML配置文件应使用PyYAML库，推荐用yaml.safe_load()安全读取、yaml.dump()配合default_flow_style=False等参数规范写入，并注意避免自动类型转换、注入风险及编码问题。

Python 中读写 YAML 配置文件，核心靠 PyYAML 库。它轻量、易用、支持主流 YAML 语法，是配置管理的常用选择。关键在于正确安装、安全加载、规范写入，避免常见坑（比如自动类型转换、注入风险）。

安装与基础读取（load）

先用 pip 安装：

pip install pyyaml

读取 YAML 文件推荐使用 yaml.safe_load()，它只解析安全的 YAML 标签（不执行任意代码），适合配置场景：

• 传入打开的文件对象（推荐用 with 自动关闭）
• 返回 Python 原生数据结构：字典、列表、字符串、数字、布尔、None
• 若文件格式错误，会抛出 yaml.YAMLError，建议加 try/except

示例：

import yaml
with open("config.yaml", "r", encoding="utf-8") as f:
  data = yaml.safe_load(f)
print(data["database"]["host"])  # 如输出 'localhost'

安全写入（dump）与格式控制

用 yaml.dump() 将 Python 数据写入 YAML 文件。默认输出可能缩进混乱、带引号或省略空行，可通过参数优化可读性：

• default_flow_style=False：禁用内联格式，强制块状结构（更易读）
• allow_unicode=True：保留中文等非 ASCII 字符，不转义
• indent=2：设置缩进空格数（默认为 2，可显式指定）
• sort_keys=False：保持字典原有键序（Python 3.7+ 默认有序，但显式设为 False 更稳妥）

示例：

with open("config.yaml", "w", encoding="utf-8") as f:
  yaml.dump(data, f, default_flow_style=False, allow_unicode=True, indent=2, sort_keys=False)

处理常见配置需求

实际项目中常遇到几类典型情况：

• 环境区分：用不同 YAML 文件（如 dev.yaml / prod.yaml），或在单文件中用锚点（&common）和引用（*common）复用配置
• 敏感信息保护：不要把密码、密钥直接写进 YAML；可用占位符（如 password: ${DB_PASSWORD}），再结合 os.getenv() 运行时替换
• 注释保留？：PyYAML 原生不支持读写注释（解析时丢弃）。如需维护注释，可考虑 ruamel.yaml 替代（功能更强，但依赖稍重）

避坑提醒

几个高频问题需注意：

• 别用 yaml.load()（无 safe 版本）——存在反序列化漏洞，尤其加载不受信内容时
• YAML 中 yes/no/on/off 会被自动转成布尔值，如需字符串，请加单/双引号：status: "on"
• 文件编码务必统一（推荐 UTF-8），否则中文可能乱码；open 时显式声明 encoding="utf-8"
• 嵌套层级过深或含特殊字符（如冒号后紧跟空格）容易解析失败，建议用在线 YAML 校验器（如 yamlchecker.com）预检