Vom Austricksen der User abgesehen gäbe es noch Cross Site Scripting, diverse Injection-Methoden, oder schlicht Browser, die es gut mit dem User meinen und Formularfelder vorbelegen.
Ja, aber das hat doch nichts mit eval zu tun, sondern mit bösartigen Skripten die Jürgen einbauen würde. Und wenn nichts gespeichert wird, ist auch kein CSS möglich, ausser bei dem, der selbst diesen Code eingibt.
in gl befinden sich die Gleichungen aus den Inputfeldern, j ist ein Schleifenzähler. Wo ist hier jetzt das Einfallstor?
Die ungeprüfte Übernahme von Strings aus gl[j] in eval().
was aber kaum anders lösbar wäre und in diesem Fall auch völlig unproblematisch. Es ist eine Eingabe des Benutzers, in dessen Browser das Skript läuft, also absolut kein Sicherheitsloch.
Struppi.