Callam Geschrieben 8. Juli 2010 Geschrieben 8. Juli 2010 Hi, ich bastel grad ein wenig mit ajax, nur um mal auszuprobieren was man damit so alles anstellen kann. dabei bin ich auf eine frage zu der javascript funktion eval gestoßen: überall heisst es, 'eval is evil', aber ich finde leider keine wirklich gute und verständliche erklärung worin genau das problem besteht (performance,sicherheit oder scriptfehler bei der verwendung).
perdian Geschrieben 8. Juli 2010 Geschrieben 8. Juli 2010 überall heisst es, 'eval is evil', aber ich finde leider keine wirklich gute und verständliche erklärung worin genau das problem bestehtDas Problem besteht auf mehreren Ebenen. Die erste ist Übersichtlichkeit: Du hast kaum Möglichkeiten zu sehen, von wo jetzt was genau aufgerufen wird, wenn letzten Endes alles in einem großen "eval" landet. Viel gefährlicher: Wenn es irgendjemand gelingt "bösen" Code durch irgendeine Lücke in deinem System durchzuschleusen steht um über eval jede denkbare Möglichkeit offen eigenen (schädlichen) Code durchzuführen. Wer also dieses Scheunentor direkt von vorneherein komplett vernagelt kommt erst gar nicht in die Bedrängnis dort ungebetene Gäste abweisen zu müssen.
Callam Geschrieben 8. Juli 2010 Autor Geschrieben 8. Juli 2010 meine idee war es, damit (ext js framework demo) mal ein bisschen rum zu spielen: ExtTop - Desktop Sample App der plan ist im prinzip recht simpel: ein formular fenster ist geöffneteingegebene daten werden per ajax gesendetphp holt aus db einstellungen, wie das fenster aussehen/sich verhalten soll, das geöffnet wirdphp schreibt javascript das das fenster mit allen einstellungen erzeugt + zusätzliches javascript(z.b. zum öffnen einer info meldung)responseText wird per eval ausgeführt gibt es da eine alternative, wie ich das hinbekommen kann ohne die probleme mit eval zu haben? Nützlich? wohl nicht, aber interessant drann rum zu basteln...
_n4p_ Geschrieben 8. Juli 2010 Geschrieben 8. Juli 2010 momentan wohl nicht, aber in einer der nächsten versionen soll javascript auch nachladbare scripte unterstützen. oder tuts eigentlich schon und nur die browser sind noch zu "dumm" dafür, weiß ich jetzt nicht so genau. andere methoden würden den aufwand aber mit sicherheit sehr erhöhen.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden