如果您发现代码中使用了eval()，请记住“eval()是邪恶的”。

这 function接受任意字符串，并将其作为JavaScript代码执行。当代码进入时 问题是事先知道的(不是在运行时确定的)，没有理由使用 eval()。 如果代码是在运行时动态生成的，通常有更好的方法 在没有eval()的情况下实现目标。 例如，只用方括号来表示 访问动态属性更好更简单:

// antipattern
var property = "name";
alert(eval("obj." + property));

// preferred
var property = "name";
alert(obj[property]);

使用eval()也有安全隐患，因为您可能正在执行代码(用于 示例来自网络)，已被篡改。 这是处理Ajax请求的JSON响应时常见的反模式。 在这些情况下 最好使用浏览器内置的方法来解析JSON响应 当然这是安全有效的。对于不支持原生JSON.parse()的浏览器，可以这样做 使用来自JSON.org的库。

同样重要的是要记住，将字符串传递给setInterval()， setTimeout()， Function()构造函数在很大程度上类似于使用eval()，因此 应该避免。

在幕后，JavaScript仍然需要计算和执行 作为编程代码传递的字符串:

// antipatterns
setTimeout("myFunc()", 1000);
setTimeout("myFunc(1, 2, 3)", 1000);

// preferred
setTimeout(myFunc, 1000);
setTimeout(function () {
myFunc(1, 2, 3);
}, 1000);

使用新的Function()构造函数类似于eval()，应该尝试一下 与护理。它可能是一个强大的结构，但经常被误用。 如果你一定要的话 使用eval()，你可以考虑使用new Function()代替。

这是一个很小的潜力 好处，因为在new Function()中求值的代码将在本地函数中运行 范围，因此在被求值的代码中使用var定义的任何变量都不会变成 自动全局。

防止自动全局变量的另一种方法是将 Eval()调用直接函数。

除非让eval()成为动态内容(通过cgi或输入)，否则它就像页面中所有其他JavaScript一样安全可靠。

将用户输入传递给eval()存在安全风险，而且每次调用eval()都会创建一个JavaScript解释器的新实例。这可能会占用资源。

我不会试图反驳之前所说的任何事情，但我将提供eval()的这种用法，(据我所知)不能以任何其他方式完成。可能还有其他方法来编码，也可能有其他方法来优化它，但这是直接完成的，为了清晰起见，没有任何花哨的东西来说明eval的使用，这真的没有任何其他选择。也就是说:动态(或者更准确地说)编程创建的对象名称(相对于值)。

//Place this in a common/global JS lib:
var NS = function(namespace){
    var namespaceParts = String(namespace).split(".");
    var namespaceToTest = "";
    for(var i = 0; i < namespaceParts.length; i++){
        if(i === 0){
            namespaceToTest = namespaceParts[i];
        }
        else{
            namespaceToTest = namespaceToTest + "." + namespaceParts[i];
        }

        if(eval('typeof ' + namespaceToTest) === "undefined"){
            eval(namespaceToTest + ' = {}');
        }
    }
    return eval(namespace);
}


//Then, use this in your class definition libs:
NS('Root.Namespace').Class = function(settings){
  //Class constructor code here
}
//some generic method:
Root.Namespace.Class.prototype.Method = function(args){
    //Code goes here
    //this.MyOtherMethod("foo"));  // => "foo"
    return true;
}


//Then, in your applications, use this to instantiate an instance of your class:
var anInstanceOfClass = new Root.Namespace.Class(settings);

编辑:顺便说一下，我不建议(出于之前指出的所有安全原因)根据用户输入来确定对象名称。但我想不出你有什么理由这么做。不过，我还是想指出这不是一个好主意:)

不恰当地使用eval会打开你的 注入攻击代码 调试可能更具挑战性 (没有行号等) 经过评估的代码执行速度较慢(没有机会编译/缓存经过评估的代码)

编辑:正如杰夫·沃尔登在评论中指出的那样，第三条在今天已经不像2008年那么正确了。然而，虽然可能会发生一些已编译脚本的缓存，但这将只局限于没有修改地重复计算的脚本。更可能的情况是，您正在计算的脚本每次都经历了轻微的修改，因此无法缓存。我们就说someeval代码执行得更慢。

Eval并不总是邪恶的。有些时候，这是非常合适的。

然而，eval在当前和历史上都被那些不知道自己在做什么的人过度使用。不幸的是，这包括编写JavaScript教程的人，在某些情况下，这确实会产生安全后果——或者，更常见的是，简单的错误。所以，我们在eval上加的问号越多越好。任何时候你使用eval你都需要检查你正在做的事情，因为你可能会用一种更好，更安全，更干净的方式来做。

举一个非常典型的例子，设置id存储在变量'potato'中的元素的颜色:

eval('document.' + potato + '.style.color = "red"');

如果上面这类代码的作者对JavaScript对象工作的基本原理有所了解，他们就会意识到可以使用方括号来代替字面上的点名称，从而消除了eval的需要:

document[potato].style.color = 'red';

.．.这更容易阅读，也更少潜在的错误。

(但是，那些/真正/知道自己在做什么的人会说:

document.getElementById(potato).style.color = 'red';

这比直接从文档对象中访问DOM元素更可靠。)