我正在编写一些JavaScript代码来解析用户输入的函数(用于类似电子表格的功能)。解析完公式后,我可以将其转换为JavaScript并在其上运行eval()以产生结果。
然而,我总是避免使用eval(),因为它是邪恶的(而且,无论正确与否,我一直认为它在JavaScript中更邪恶,因为要计算的代码可能会被用户更改)。
那么,什么时候可以使用它呢?
我正在编写一些JavaScript代码来解析用户输入的函数(用于类似电子表格的功能)。解析完公式后,我可以将其转换为JavaScript并在其上运行eval()以产生结果。
然而,我总是避免使用eval(),因为它是邪恶的(而且,无论正确与否,我一直认为它在JavaScript中更邪恶,因为要计算的代码可能会被用户更改)。
那么,什么时候可以使用它呢?
当前回答
唯一需要使用eval()的情况是需要动态地运行JS。我说的是你从服务器异步下载的JS…
...10次中的9次你都可以通过重构来避免这种情况。
其他回答
Eval()并不坏。或者,如果是的话,它是邪恶的,就像反射、文件/网络I/O、线程和IPC在其他语言中的“邪恶”一样。
如果,出于您的目的,eval()比手动解释更快,或者使您的代码更简单,或更清楚……那么你应该使用它。如果两者都不是,那么你就不应该这么做。就这么简单。
我相信eval对于客户端web应用程序来说是一个非常强大的功能,并且是安全的。和JavaScript一样安全,但JavaScript不安全。:-)安全问题本质上是服务器端的问题,因为现在,使用像Firebug这样的工具,你可以攻击任何JavaScript应用程序。
如果你可以完全控制传递给eval函数的代码,那么使用它是可以的。
让我们看看真正的人:
现在每个主流浏览器都有一个内置的控制台,你想成为黑客的人可以使用它来调用任何值的任何函数-为什么他们会麻烦使用eval语句-即使他们可以? 如果编译2000行JavaScript需要0.2秒,那么如果我计算4行JSON,性能会下降多少?
即使克罗克福德对“eval是邪恶的”的解释也很软弱。
eval是邪恶的,eval函数是最被滥用的功能 JavaScript。避免它
正如克罗克福德自己可能会说的那样:“这种说法往往会产生非理性的神经症。别买它。”
理解eval并知道它什么时候可能有用更重要。例如,eval是评估软件生成的服务器响应的明智工具。
顺便说一句:Prototype.js直接调用eval 5次(包括在evalJSON()和evalResponse()中)。jQuery在parseJSON中使用它(通过函数构造函数)。
唯一需要使用eval()的情况是需要动态地运行JS。我说的是你从服务器异步下载的JS…
...10次中的9次你都可以通过重构来避免这种情况。