我想到两点:

安全性(但只要您自己生成要计算的字符串，这可能就不是问题) 性能:除非要执行的代码是未知的，否则无法进行优化。(关于javascript和性能，当然是Steve Yegge的演示)

不恰当地使用eval会打开你的 注入攻击代码 调试可能更具挑战性 (没有行号等) 经过评估的代码执行速度较慢(没有机会编译/缓存经过评估的代码)

编辑:正如杰夫·沃尔登在评论中指出的那样，第三条在今天已经不像2008年那么正确了。然而，虽然可能会发生一些已编译脚本的缓存，但这将只局限于没有修改地重复计算的脚本。更可能的情况是，您正在计算的脚本每次都经历了轻微的修改，因此无法缓存。我们就说someeval代码执行得更慢。

这并不总是一个坏主意。以代码生成为例。我最近写了一个叫做Hyperbars的库，它在虚拟世界和把手之间架起了桥梁。它通过解析句柄模板并将其转换为虚拟dom使用的超脚本来实现这一点。超脚本首先作为字符串生成，在返回它之前，eval()将其转换为可执行代码。我发现eval()在这种特殊情况下与邪恶完全相反。

基本上从

<div>
    {{#each names}}
        <span>{{this}}</span>
    {{/each}}
</div>

这个

(function (state) {
    var Runtime = Hyperbars.Runtime;
    var context = state;
    return h('div', {}, [Runtime.each(context['names'], context, function (context, parent, options) {
        return [h('span', {}, [options['@index'], context])]
    })])
}.bind({}))

eval()的性能在这种情况下不是问题，因为您只需要解释一次生成的字符串，然后多次重用可执行输出。

如果您好奇的话，您可以看到代码生成是如何实现的。

我相信这是因为它可以从字符串执行任何JavaScript函数。使用它可以使人们更容易向应用程序中注入恶意代码。

这大大降低了您对安全性的信心。

主要是，维护和调试要困难得多。就像goto一样。您可以使用它，但它会使发现问题变得更加困难，对稍后可能需要进行更改的人来说也更加困难。