需要记住的一件事是，您可以经常使用eval()在其他受限制的环境中执行代码——阻塞特定JavaScript函数的社交网站有时可以通过在eval块中分解它们来愚弄它们

eval('al' + 'er' + 't(\'' + 'hi there!' + '\')');

因此，如果你想运行一些JavaScript代码，否则它可能是不允许的(Myspace，我看着你…)，那么eval()可能是一个有用的技巧。

然而，由于上面提到的所有原因，你不应该在你自己的代码中使用它，在那里你有完全的控制权——这是没有必要的，最好把它归到“棘手的JavaScript hacks”架子上。

如果您发现代码中使用了eval()，请记住“eval()是邪恶的”。

这 function接受任意字符串，并将其作为JavaScript代码执行。当代码进入时 问题是事先知道的(不是在运行时确定的)，没有理由使用 eval()。 如果代码是在运行时动态生成的，通常有更好的方法 在没有eval()的情况下实现目标。 例如，只用方括号来表示 访问动态属性更好更简单:

// antipattern
var property = "name";
alert(eval("obj." + property));

// preferred
var property = "name";
alert(obj[property]);

使用eval()也有安全隐患，因为您可能正在执行代码(用于 示例来自网络)，已被篡改。 这是处理Ajax请求的JSON响应时常见的反模式。 在这些情况下 最好使用浏览器内置的方法来解析JSON响应 当然这是安全有效的。对于不支持原生JSON.parse()的浏览器，可以这样做 使用来自JSON.org的库。

同样重要的是要记住，将字符串传递给setInterval()， setTimeout()， Function()构造函数在很大程度上类似于使用eval()，因此 应该避免。

在幕后，JavaScript仍然需要计算和执行 作为编程代码传递的字符串:

// antipatterns
setTimeout("myFunc()", 1000);
setTimeout("myFunc(1, 2, 3)", 1000);

// preferred
setTimeout(myFunc, 1000);
setTimeout(function () {
myFunc(1, 2, 3);
}, 1000);

使用新的Function()构造函数类似于eval()，应该尝试一下 与护理。它可能是一个强大的结构，但经常被误用。 如果你一定要的话 使用eval()，你可以考虑使用new Function()代替。

这是一个很小的潜力 好处，因为在new Function()中求值的代码将在本地函数中运行 范围，因此在被求值的代码中使用var定义的任何变量都不会变成 自动全局。

防止自动全局变量的另一种方法是将 Eval()调用直接函数。

通常只有在传递eval用户输入时才会出现问题。

这大大降低了您对安全性的信心。

这可能存在安全风险，它具有不同的执行范围，并且效率非常低，因为它为代码的执行创建了一个全新的脚本环境。更多信息请参见这里:eval。

不过，它非常有用，适度使用可以添加许多很好的功能。

我想说的是，如果你在javascript中使用eval()并不重要，因为它是在浏览器中运行的。

所有现代浏览器都有一个开发者控制台，在那里你可以执行任意的javascript，任何半聪明的开发者都可以查看你的JS源代码，并将他们需要的任何部分放入开发控制台来做他们想做的事情。

*只要你的服务器端对用户提供的值进行了正确的验证和消毒，在你的客户端javascript中解析和评估什么都不重要。

然而，如果你问在PHP中是否适合使用eval()，答案是否定的，除非你将任何可能传递给eval语句的值列入白名单。