1. eval的不正確使用會打開您的注入攻擊代碼

2. 調試可能更具挑戰性（沒有行號等）

3. eval'd代碼執行速度較慢（無法編譯/緩存eval'd代碼）

評估并不總是邪惡的。有時候它非常合適。

然而，eval目前和歷史上大量過度使用，他們不知道自己在做什么。不幸的是，這包括編寫JavaScript教程的人，在某些情況下，這確實會帶來安全后果 - 或者更常見的是簡單的錯誤。因此，我們越多可以在eval上拋出問號，就越好。每當你使用eval時，你需要理智地檢查你正在做什么，因為你可能會做得更好，更安全，更清潔。

舉一個非常典型的例子，設置一個id存儲在變量'potato'中的元素的顏色：

eval('document.' + potato + '.style.color = "red"');

如果上面那種代碼的作者對JavaScript對象的工作原理有了線索，他們就會意識到可以使用方括號而不是文字點名，從而避免了對eval的需求：

document[potato].style.color = 'red';

...這更容易閱讀，也不那么潛在的錯誤。

（但是，有人/他/他/他們知道他們在做什么會說：

document.getElementById(potato).style.color = 'red';

這比直接從文檔對象訪問DOM元素的狡猾的舊技巧更可靠。）

我相信這是因為它可以從字符串中執行任何JavaScript函數。使用它可以讓人們更容易將惡意代碼注入應用程序。

我想到兩點：

1. 安全性（但只要您自己生成要評估的字符串，這可能不是問題）

2. 性能：直到要執行的代碼未知，它無法進行優化。（關于javascript和性能，肯定是Steve Yegge的演講）