将用户输入传递给eval()存在安全风险，而且每次调用eval()都会创建一个JavaScript解释器的新实例。这可能会占用资源。

通常只有在传递eval用户输入时才会出现问题。

除非您100%确定正在评估的代码来自可信的来源(通常是您自己的应用程序)，否则这将使您的系统暴露于跨站点脚本攻击。

我想说的是，如果你在javascript中使用eval()并不重要，因为它是在浏览器中运行的。

所有现代浏览器都有一个开发者控制台，在那里你可以执行任意的javascript，任何半聪明的开发者都可以查看你的JS源代码，并将他们需要的任何部分放入开发控制台来做他们想做的事情。

*只要你的服务器端对用户提供的值进行了正确的验证和消毒，在你的客户端javascript中解析和评估什么都不重要。

然而，如果你问在PHP中是否适合使用eval()，答案是否定的，除非你将任何可能传递给eval语句的值列入白名单。

这可能存在安全风险，它具有不同的执行范围，并且效率非常低，因为它为代码的执行创建了一个全新的脚本环境。更多信息请参见这里:eval。

不过，它非常有用，适度使用可以添加许多很好的功能。

Eval并不总是邪恶的。有些时候，这是非常合适的。

然而，eval在当前和历史上都被那些不知道自己在做什么的人过度使用。不幸的是，这包括编写JavaScript教程的人，在某些情况下，这确实会产生安全后果——或者，更常见的是，简单的错误。所以，我们在eval上加的问号越多越好。任何时候你使用eval你都需要检查你正在做的事情，因为你可能会用一种更好，更安全，更干净的方式来做。

举一个非常典型的例子，设置id存储在变量'potato'中的元素的颜色:

eval('document.' + potato + '.style.color = "red"');

如果上面这类代码的作者对JavaScript对象工作的基本原理有所了解，他们就会意识到可以使用方括号来代替字面上的点名称，从而消除了eval的需要:

document[potato].style.color = 'red';

.．.这更容易阅读，也更少潜在的错误。

(但是，那些/真正/知道自己在做什么的人会说:

document.getElementById(potato).style.color = 'red';

这比直接从文档对象中访问DOM元素更可靠。)