在JavaScript中为什么不要使用eval

为什么不要使用eval

eval函数会在当前作用域中执行一段 JavaScript 代码字符串。

但是 eval只在被直接调用并且调用函数就是 eval本身时，才在当前作用域中执行。

注意：上面的代码等价于在全局作用域中调用eval，和下面两种写法效果一样：

在任何情况下我们都应该避免使用eval函数。99.9% 使用eval的场景都有不使用eval的解决方案。

伪装的eval

定时函数 setTimeout和setInterval都可以接受字符串作为它们的第一个参数。 这个字符串总是在全局作用域中执行，因此eval在这种情况下没有被直接调用。

安全问题

eval也存在安全问题，因为它会执行任意传给它的代码， 在代码字符串未知或者是来自一个不信任的源时，绝对不要使用eval函数。

结论

绝对不要使用eval，任何使用它的代码都会在它的工作方式，性能和安全性方面受到质疑。 如果一些情况必须使用到 eval才能正常工作，首先它的设计会受到质疑，这不应该是首选的解决方案， 一个更好的不使用 eval的解决方案应该得到充分考虑并优先采用。