如果你知道你在什么环境中使用它，它并不一定那么糟糕。

如果您的应用程序使用eval()从XMLHttpRequest返回到您自己的站点的某个JSON中创建一个对象，该对象是由受信任的服务器端代码创建的，那么这可能不是问题。

不可信的客户端JavaScript代码无论如何也做不了那么多。只要你执行eval()的对象来自一个合理的源，就没问题。

除非您100%确定正在评估的代码来自可信的来源(通常是您自己的应用程序)，否则这将使您的系统暴露于跨站点脚本攻击。

随着带有JavaScript编译器的下一代浏览器问世，这可能会成为一个更大的问题。通过Eval执行的代码在这些新浏览器上的表现可能不如JavaScript的其他部分。应该有人来做侧写。

如果你想让用户输入一些逻辑函数并计算与或，那么JavaScript的eval函数是完美的。我可以接受两个字符串和eval(ate) string1 === string2等。

需要记住的一件事是，您可以经常使用eval()在其他受限制的环境中执行代码——阻塞特定JavaScript函数的社交网站有时可以通过在eval块中分解它们来愚弄它们

eval('al' + 'er' + 't(\'' + 'hi there!' + '\')');

因此，如果你想运行一些JavaScript代码，否则它可能是不允许的(Myspace，我看着你…)，那么eval()可能是一个有用的技巧。

然而，由于上面提到的所有原因，你不应该在你自己的代码中使用它，在那里你有完全的控制权——这是没有必要的，最好把它归到“棘手的JavaScript hacks”架子上。

这可能存在安全风险，它具有不同的执行范围，并且效率非常低，因为它为代码的执行创建了一个全新的脚本环境。更多信息请参见这里:eval。

不过，它非常有用，适度使用可以添加许多很好的功能。