只要可以确定代码的源代码来自您或实际用户，就没有理由不使用eval()。尽管他可以操纵发送到eval()函数的内容，但这并不是一个安全问题，因为他能够操纵网站的源代码，因此可以改变JavaScript代码本身。

所以…何时不使用eval()?Eval()只应该在第三方有可能更改它的情况下才使用。比如拦截客户端和服务器之间的连接(但如果这是一个问题，请使用HTTPS)。你不应该用eval()来解析别人写的代码，比如在论坛上。

如果可能的话，只在测试期间使用。还要注意eval()比其他专门的JSON等求值器要慢得多。

什么时候JavaScript的eval()不是邪恶的?

我总是不鼓励使用eval。几乎总是有更干净和可维护的解决方案可用。Eval甚至对于JSON解析也不需要。Eval增加了维护的难度。道格拉斯·克罗克福德(Douglas Crockford)这样的大师并不赞同这一点，这不无道理。

但我发现了一个应该使用它的例子:

当你需要传递表达式时。

例如，我有一个函数，为我构造了一个通用的google.maps.ImageMapType对象，但我需要告诉它配方，它应该如何从缩放和坐标参数构造tile URL:

my_func({
    name: "OSM",
    tileURLexpr: '"http://tile.openstreetmap.org/"+b+"/"+a.x+"/"+a.y+".png"',
    ...
});

function my_func(opts)
{
    return new google.maps.ImageMapType({
        getTileUrl: function (coord, zoom) {
            var b = zoom;
            var a = coord;
            return eval(opts.tileURLexpr);
        },
        ....
    });
}

Eval()并不坏。或者，如果是的话，它是邪恶的，就像反射、文件/网络I/O、线程和IPC在其他语言中的“邪恶”一样。

如果，出于您的目的，eval()比手动解释更快，或者使您的代码更简单，或更清楚……那么你应该使用它。如果两者都不是，那么你就不应该这么做。就这么简单。

我看到有人提倡不要使用eval，因为这是邪恶的，但我也看到同样的人动态地使用Function和setTimeout，所以他们在幕后使用eval:D

顺便说一句，如果你的沙盒不够确定(例如，如果你在一个允许代码注入的网站上工作)，eval是你的最后一个问题。安全的基本规则是所有输入都是邪恶的，但对于JavaScript，甚至JavaScript本身也可能是邪恶的，因为在JavaScript中，你可以覆盖任何函数，你只是不能确定你使用的是真正的函数，所以，如果恶意代码在你之前启动，你不能相信任何JavaScript内置函数:D

现在这篇文章的尾声是:

如果你真的需要它(80%的时间不需要eval)，并且你确定你在做什么，只使用eval(或更好的Function;))，闭包和OOP覆盖了80/90%的情况，其中eval可以使用另一种逻辑替换，其余是动态生成的代码(例如，如果你正在编写解释器)，正如你已经说过的评估JSON(这里你可以使用Crockford安全评估;))

我想花点时间谈谈你的问题的前提——eval()是“邪恶的”。“邪恶”这个词，在编程语言的使用者中，通常意味着“危险”，或者更准确地说，“能够用一个看起来简单的命令造成很多伤害”。那么，什么时候可以使用危险的东西呢?当你知道危险是什么，并采取适当的预防措施时。

首先，让我们看看使用eval()的危险。就像其他事情一样，可能有许多小的隐患，但是两个大的风险——eval()被认为是邪恶的原因——是性能和代码注入。

Performance - eval() runs the interpreter/compiler. If your code is compiled, then this is a big hit, because you need to call a possibly-heavy compiler in the middle of run-time. However, JavaScript is still mostly an interpreted language, which means that calling eval() is not a big performance hit in the general case (but see my specific remarks below). Code injection - eval() potentially runs a string of code under elevated privileges. For example, a program running as administrator/root would never want to eval() user input, because that input could potentially be "rm -rf /etc/important-file" or worse. Again, JavaScript in a browser doesn't have that problem, because the program is running in the user's own account anyway. Server-side JavaScript could have that problem.

说到你的具体情况。根据我的理解，您自己生成字符串，所以假设您小心地不允许生成像“rm -rf something-important”这样的字符串，就没有代码注入风险(但请记住，在一般情况下很难确保这一点)。此外，如果你在浏览器中运行，那么我相信代码注入的风险是相当小的。

至于性能，您必须将其与编码的便捷性进行权衡。我的观点是，如果要解析公式，不妨在解析期间计算结果，而不是运行另一个解析器(eval()内的解析器)。但是使用eval()编码可能更容易，而且性能上的影响可能不太明显。在这种情况下，看起来eval()并不比任何其他可能为您节省时间的函数更邪恶。