Tach!

das ist ein daten-array von google.maps und daher ein einschleusen von fremdcode prinzipiell natürlich möglich. wie dedlfix richtig bemerkt, wäre das auch bisher ein problem, das ich aber bereits (hoffentlich, wenn nicht, gern noch den einen oder anderen tipp) gelöst habe, indem ich nur strings zulasse, die kein semikolon enthalten.

Du weißt aber schon, dass das Semikolon in Javascript optional ist und auch ein Zeilenumbruch in vielen Fällen ausreicht?

das beschränkt die anzahl der möglichen befehle, die umfangreichen code enthalten können ein, daher hatte ich noch strings ausgeschlossen, die 'include' bzw. 'require' enthalten. jz sollte der string wohl auch auf 'eval' geprüft werden.

Wenn du schon in eval() drin bist, musst du nicht mehr eval() ausführen. Da kannst du auch gleich fopen() und was weiß ich nehmen, um Unheil anzustiften.

ansonsten ist eval() eine ganz gute lösung(, das ich auch schon mal benutzt hatte, aber nur zum rechnen o.o).

Es ist nur einfacher als die include-Lösung. Besser ist sie nicht. Sind die Daten vielleicht JSON-kompatibel aufgebaut?

dedlfix.