nicht angemeldet
Hi,
So was spricht denn nun gegen eval?
eval() ist i.d.R. einfach unnützer Overhead, da das eigentlich Erwünschte auch direkt (also schneller) erledigt werden kann (so ja auch hier). Warum dann erst Code extra interpretieren lassen?
Schlimm wird es allerdings, wenn man Code "evaled", der vom Benutzer frei eingegeben werden kann (darauf läuft es ja hier hinaus). Da liegt dann eine veritable Sicherheitslücke vor, da der Benuter dann in der bestehenden Umgebung ggf. beliebigen Code (so auch hier) ausführen kann.
Bei JS sind die daraus resultierenden Sicherheitslücken zwar vergleichsweise gering (also im Vergleich zu z.B. PHP), aber dennoch gegeben.
Aber da sich die Notwendigkeit von eval() (auch hier) ja gar nicht stellt: Hinfort damit.
Gruß, Cybaer
Hinweis an Fragesteller: Fremde haben ihre Freizeit geopfert, um Dir zu helfen. Helfe Du auch im Archiv Suchenden: Beende deinen Thread mit einem "Hat geholfen" oder "Hat nicht geholfen"!