Warum ist die Verwendung der JavaScript eval-Funktion eine schlechte Idee?

Question

Die eval-Funktion ist eine leistungsstarke und einfache Möglichkeit, dynamischen Code zu erzeugen.

Answer 1

Die Übergabe von Benutzereingaben an eval() ist ein Sicherheitsrisiko, aber auch jeder Aufruf von eval() erzeugt eine neue Instanz des JavaScript-Interpreters. Dies kann ein Ressourcenfresser sein.

Answer 2

Vor allem ist es viel schwieriger zu warten und zu debuggen. Es ist wie ein goto . Sie können es verwenden, aber es macht es schwieriger, Probleme zu finden und schwieriger für die Leute, die später Änderungen vornehmen müssen.

Answer 3

Eine Sache, die man im Hinterkopf behalten sollte, ist, dass man eval() oft benutzen kann, um Code in einer ansonsten eingeschränkten Umgebung auszuführen - Social-Networking-Sites, die bestimmte JavaScript-Funktionen blockieren, können manchmal überlistet werden, indem man sie in einen eval-Block auflöst.

eval('al' + 'er' + 't(\'' + 'hi there!' + '\')');

Wenn Sie also JavaScript-Code dort ausführen wollen, wo er sonst nicht erlaubt wäre ( Myspace Ich schaue dich an...), dann kann eval() ein nützlicher Trick sein.

Aus all den oben genannten Gründen sollten Sie es jedoch nicht für Ihren eigenen Code verwenden, bei dem Sie die vollständige Kontrolle haben - es ist einfach nicht notwendig und sollte besser in das Regal "knifflige JavaScript-Hacks" verbannt werden.

Answer 4

Solange Sie eval() keinen dynamischen Inhalt (durch cgi oder Eingabe) zulassen, ist es genauso sicher und solide wie alle anderen JavaScript in Ihrer Seite.

Answer 5

Zusammen mit dem Rest der Antworten glaube ich nicht, dass eval-Anweisungen eine erweiterte Minimierung haben können.