Hallo Alexander,
vielen Dank. Ich weiß jetzt, dass eval nicht so leicht abgesichert werden kann, wie ich dachte. Da muss ich noch nachbessern.
Allerdings weiß ich immer noch nicht, wie der Schadcode über die Usereingabe an das Eval übergeben werden kann, ohne dass der User es selbst macht. Bei meiner Seite lese ich das Inputfeld aus und übergebe den String dann an eval:
with(Math) { for(var x=xmin,i=0;x<=xmax;x+=dx,i++) arr[p][i] = { x: x, y: eval(gl[j]) }; }
in gl befinden sich die Gleichungen aus den Inputfeldern, j ist ein Schleifenzähler. Wo ist hier jetzt das Einfallstor?
Gruß, Jürgen