如果真的需要，eval也不是坏事。但是我偶然发现的99.9%的eval使用是不需要的(不包括setTimeout的东西)。

对我来说，邪恶不是性能问题，甚至不是安全问题(好吧，间接地，两者都是)。所有这些不必要的eval使用都增加了维护的难度。重构工具被抛弃了。搜索代码是困难的。这些评估的意想不到的影响是很多的。

虽然在许多情况下，您可以通过将脚本连接在一起并动态运行来完成需要完成的任务，但您通常可以使用更强大且可维护的技术。Eval很少是正确的选择。:关联数组表示法(obj["prop"]与obj.prop相同)，闭包，面向对象技术，函数技术-请使用它们。

如果可能的话，只在测试期间使用。还要注意eval()比其他专门的JSON等求值器要慢得多。

至于客户端脚本，我认为安全性问题是一个有争议的问题。加载到浏览器中的所有内容都受到操作的影响，因此应该这样对待。当有更简单的方法来执行JavaScript代码和/或操作DOM中的对象(例如浏览器中的URL栏)时，使用eval()语句的风险为零。

javascript:alert("hello");

如果有人想操纵他们的DOM，我说swing away。防止任何类型的攻击的安全性应该始终是服务器应用程序的责任。

从实用主义的角度来看，在可以用其他方法完成任务的情况下，使用eval()没有任何好处。但是，在某些特定的情况下应该使用eval。当这样做时，它绝对可以在没有任何破坏页面的风险的情况下完成。

<html>
    <body>
        <textarea id="output"></textarea><br/>
        <input type="text" id="input" />
        <button id="button" onclick="execute()">eval</button>

        <script type="text/javascript">
            var execute = function(){
                var inputEl = document.getElementById('input');
                var toEval = inputEl.value;
                var outputEl = document.getElementById('output');
                var output = "";

                try {
                    output = eval(toEval);
                }
                catch(err){
                    for(var key in err){
                        output += key + ": " + err[key] + "\r\n";
                    }
                }
                outputEl.value = output;
            }
        </script>
    <body>
</html>

当您使用解析函数解析JSON结构时(例如，jQuery.parseJSON)，它期望JSON文件的完美结构(每个属性名都用双引号括起来)。然而，JavaScript更加灵活。因此，可以使用eval()来避免它。

由于还没有人提到它，让我补充一下eval对于Webassembly-Javascript互操作非常有用。虽然在您的页面中包含WASM代码可以直接调用的预先制作的脚本当然是理想的，但有时这是不可行的，您需要从Webassembly语言(如c#)传入动态Javascript来真正完成您需要做的事情。

在这种情况下，它也是安全的，因为您可以完全控制传入的内容。好吧，我应该说，这并不比使用c#编写SQL语句更安全，也就是说，无论何时使用用户提供的数据来生成脚本，都需要谨慎地执行(正确转义字符串等)。但在这种情况下，它在互操作场景中有一个明确的位置，远非“邪恶”。