Hallo Alexander,

also ich muss zugeben, so richtig sehe ich die Gefahr nicht, die dadurch entsteht, dass Usereingaben an eval übergeben werden. Bei meinem Funktionsplotter lasse ich eval nur unter Math laufen (with Math) und prüfe, ob die Strings "alert" oder "document" in der Formel auftauchen.

Wenn es da wirklich jemanden gelingt, Schadcode einzuschleusen, so läuft dieser doch auf dem Rechner des "Täters" ("ich habe 127.0.0.1 gehackt"). Sonst sollte da doch niemand etwas davon mit- oder abbekommen.

Vielleicht kann mich ja mal jemand aufklären, was in diesem Fall so alles passieren kann. Ich muss da zugeben, dass meine kriminelle Phantasie nicht ausgeprägt ist.

Gruß, Jürgen