eval()函数功能介绍及弊端说明

eval()作用：

eval() 函数可计算某个字符串，并执行其中的的 JavaScript 代码。

语法：

eval(string)

参数：

string　　必需，要计算的字符串，其中含有要计算的 JavaScript 表达式或要执行的语句。

返回值：返回计算string的值，如果有的话 （没有则不做任何改变返回）

example：

eval(“x=10;y=20;document.write(x*y)”); //output为200
document.write(eval(“2+2”));　　//output为4
var x=10;
document.write(eval(x+17));　　//output为27

使用eval()函数也可以将JSON字符串解析为对象，这个功能能完成JSON.parse()的功能，但是有不一样的地方，请看下面代码

JSON.parse()

var json = ‘{“name”:“GDT”,“age”:23,“University”:“GDUT”}’;
var info = JSON.parse(json);　　　 //解析为JSON对象
document.write(info); //output为[object Object]

eval()

var json = ‘{“name”:“GDT”,“age”:23,“University”:“GDUT”}’;
var info = eval(‘(’ + json + ‘)’); //解析为JSON对象
document.write(info); //output为[object Object]

注意

eval()要用一对圆括号将字符串包起来

原因：归结于eval本身的问题，由于json是以”{}”的方式来开始以及结束的，在JS中，它会被当成一个语句块来处理，所以必须强制性的将它转换成一种表达式。解决方法：加上圆括号的目的是迫使eval函数在处理JavaScript代码的时候强制将括号内的表达式（expression）转化为对象，而不是作为语句（statement）来执行。举一个例子，例如对象字面量{}，如若不加外层的括号，那么eval会将大括号识别为JavaScript代码块的开始和结束标记，那么{}将会被认为是执行了一句空语句。请看下列例子的不同

alert(eval(“{}”)); // return undefined
alert(eval(‘(’+‘{}’+‘)’)); // return object[Object]

安全性

相对于写法格式严格的JSON.parse()来说，eval()可以解析任何字符串，eval是不安全的，因为eval比较宽松，会有潜在的安全性问题。比如以下代码：

var str1 = ‘{“a”:“b”}’;
document.write(eval(“(”+str1+“)”)); //正常解析为对象
var str2 = ‘{“a”: (function(){alert(“I can do something bad!”);})()}’;
eval(‘(’+str2+‘)’); //可以用来执行木马脚本
如果用恶意用户在json字符串中注入了向页面插入木马链接的脚本，用eval也是可以操作的，而用JSON.parse()则不必担心这个问题，可见，虽然eval()功能很强大，但是实际用到的机会并不多。