Zum Inhalt springen
View in the app

A better way to browse. Learn more.
Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Themen

javascript eval()

Gast Callam
Gast Callam
in Webdesign

Empfohlene Antworten

Veröffentlicht

Hi,

ich bastel grad ein wenig mit ajax, nur um mal auszuprobieren was man damit so alles anstellen kann.

dabei bin ich auf eine frage zu der javascript funktion eval gestoßen:

überall heisst es, 'eval is evil', aber ich finde leider keine wirklich gute und verständliche erklärung worin genau das problem besteht (performance,sicherheit oder scriptfehler bei der verwendung).

überall heisst es, 'eval is evil', aber ich finde leider keine wirklich gute und verständliche erklärung worin genau das problem besteht
Das Problem besteht auf mehreren Ebenen. Die erste ist Übersichtlichkeit: Du hast kaum Möglichkeiten zu sehen, von wo jetzt was genau aufgerufen wird, wenn letzten Endes alles in einem großen "eval" landet.

Viel gefährlicher: Wenn es irgendjemand gelingt "bösen" Code durch irgendeine Lücke in deinem System durchzuschleusen steht um über eval jede denkbare Möglichkeit offen eigenen (schädlichen) Code durchzuführen. Wer also dieses Scheunentor direkt von vorneherein komplett vernagelt kommt erst gar nicht in die Bedrängnis dort ungebetene Gäste abweisen zu müssen.

meine idee war es, damit (ext js framework demo) mal ein bisschen rum zu spielen:

ExtTop - Desktop Sample App

der plan ist im prinzip recht simpel:

  1. ein formular fenster ist geöffnet
  2. eingegebene daten werden per ajax gesendet
  3. php holt aus db einstellungen, wie das fenster aussehen/sich verhalten soll, das geöffnet wird
  4. php schreibt javascript das das fenster mit allen einstellungen erzeugt + zusätzliches javascript(z.b. zum öffnen einer info meldung)
  5. responseText wird per eval ausgeführt

gibt es da eine alternative, wie ich das hinbekommen kann ohne die probleme mit eval zu haben?

Nützlich? wohl nicht, aber interessant drann rum zu basteln...

momentan wohl nicht, aber in einer der nächsten versionen soll javascript auch nachladbare scripte unterstützen.

oder tuts eigentlich schon und nur die browser sind noch zu "dumm" dafür, weiß ich jetzt nicht so genau.

andere methoden würden den aufwand aber mit sicherheit sehr erhöhen.

Archiv

Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.

Zur Themenliste gehen

Configure browser push notifications
Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.