不要使用eval

最新推荐文章于 2021-03-17 02:06:04 发布
转载 最新推荐文章于 2021-03-17 02:06:04 发布 · 191 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_Objects/eval

本文详细介绍了 JavaScript 的全局对象 eval 函数,解释了如何在运行时解析并执行字符串作为 JavaScript 代码。提供了官方文档链接,帮助开发者深入理解 eval 的工作原理及应用场景。
PHP eval函数使用介绍
10-26
- 不要将用户输入直接用于eval函数。 - 对任何可能成为eval函数输入的字符串执行严格的安全检查,比如使用正则表达式过滤掉潜在的危险代码片段。 - 在可能的情况下,寻找不使用eval函数的替代方案。 总之,PHP eval...
JS中eval函数的使用示例
10-27
在JavaScript中,`eval()`函数是一个非常特殊且功能强大的工具,它能够将一个字符串作为...在开发过程中,尽量遵循“不要信任用户输入”的原则,避免在不必要的情况下使用`eval()`,以提高应用程序的安全性和性能。
为什么不要使用 eval
Curious
06-10 669
eval 函数会在当前作用域中执行一段 JavaScript 代码字符串。var foo = 1; function test() { var foo = 2; eval('foo = 3'); return foo; } test(); // 3 foo; // 1但是 eval 只在被直接调用并且调用函数就是 eval 本身时,才在当前作用域中执行。var foo = 1
python中不使用eval()完成一个简单的数值运算
weixin_44002217的博客
10-11 1328
python中不使用eval()完成一个简单的数值运算 数值运算 描述 获得用户输入的一个字符串,格式如下:‪‬‪‬‪‬‪‬‪‬‮‬‪‬‮‬‪‬‪‬‪‬‪‬‪‬‮‬‪‬‪‬‪‬‪‬‪‬‪‬‪‬‮‬‪‬‭‬‪‬‪‬‪‬‪‬‪‬‮‬‪‬‪‬‪‬‪‬‪‬‪‬‪‬‮‬‫‬‮‬ M OP N‪‬‪‬‪‬‪‬‪‬‮‬‪‬‮‬‪‬‪‬‪‬‪‬‪‬‮‬‪‬‪‬‪‬‪‬‪‬‪‬‪‬‮‬‪‬‭‬‪‬‪‬‪‬‪‬‪‬‮‬‪‬‪‬‪‬‪‬‪‬‪‬‪‬‮‬‫‬‮‬ 其中,M和N是任何数字,OP代表一种操作,表示为如下四种:+, -,
为什么尽量不要使用eval函数和with关键字
then啥
09-22 1785
编译过程:分词/词法分析;解析/语法分析;代码生成 词法作用域:定义在词法阶段的作用域 相关概念: 作用域:是一套规则,定义了引擎如何在作用域中通过标识符名称对变量进行查找 作用域工作模型:词法作用域、动态作用域 词法化:编译器工作的第一阶段,即对代码中的字符进行检查。如果是有状态的解析还会赋予单词语义 1.性能问题: ①.js引擎会在编译阶段进行性能优化,其...
避免使用eval
sunshineTing2的博客
12-28 322
let minShadow = eval("Math.min(" + yAxisDataShadow.toString() + ")") * 0.1; 不要使用eval let minShadow = Math.min.apply(null, yAxisDataShadow) * 0.1; 问题 Math.min([1,2,3]) //NAN 解决 Math.min.apply(nu...
shell 免杀aspx_避开eval关键字,打造免杀一句话木马
weixin_30304773的博客
01-16 2109
这年头留个php一句话木马,随便就被杀了,但具我所知,杀软和运维人员杀的都是eval函数的关键字,只要避开关键字就能延长木马的寿命,但要怎么避开呢?首先我想到的是将eval从字符串类型赋给一个变量。如:$func = 'phpinfo';$func();这样的确是可以运行phpinfo()的,但是eval却不能通过这样来执行,我马上又想到了assert函数,他有着类似eval的功能,但效果并不理想...
Eval-SQL.NET:SQL Eval函数使用C#语法在SQL Server中动态评估表达式
01-28
不要错过通过用户定义函数(UDF)和表值函数(TVF)将简单表达式的查询性能显着提高300% ,将复杂代码的查询性能显着提高2000%以上的机会。 在SQL中使用分隔符分割字符串的基准 方法 1,000行 10,000行 100,000行...
Javascript中eval函数的使用方法与示例
12-09
定义和用法 eval(...因此请不要eval() 函数传递 String 对象来作为参数。 如果试图覆盖 eval 属性或把 eval() 方法赋予另一个属性,并通过该属性调用它,则 ECMAScript 实现允许抛
JavaScript中的eval()函数使用介绍
10-24
这种方法既安全又可优化,但仍然要注意不要过度使用,因为每次创建新函数都有一定的开销。 总结来说,尽管eval()函数在某些特定场景下有其用途,但应尽量避免在常规编程中使用,以提高代码的安全性和性能。当确实...
文件上传漏洞解析及简单绕过技巧
秋水的博客
09-07 2862
文件上传漏洞简介 什么是文件上传漏洞? 简单来说就是,攻击者向服务器上上传了服务器可以解析的动态脚本文件,这里上传的文件可以是木马,病毒,恶意脚本或者Webshell等 这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果 为什么会产生文件上传漏洞? 这是因为,开发人员由于大意...
ASPX一句话木马--终极版&详细分析(ASP-EXECUTE VS ASPX-EVAL)
热门推荐
Quantum Intelligence
08-04 5万+
首先回顾一下以前ASP一句话的经典木马吧!"" then execute request("nonamed")%>VBS中execute就是动态运行指定的代码而JSCRIPT中也同样有eval函数可以实现,也就是说ASP一句话木马也有个版本是采用JSCRIPT的 eval的!网上也有例子我就不多说了!.....然后解析语言终究发展成为中间代码例如java .net  动态执行也就不存在
ASPX一句话***--终极版&详细分析(ASP-EXECUTE VS ASPX-EVAL)
weixin_34366546的博客
08-09 760
信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])注意:本文章首发[url]http://blog.youkuaiyun.com/kj021320/archive/2007/08/04/1726442.aspx[/url],后由原创作者kj021320友情提交到邪恶八进制信息安全团队论坛。首先回顾一下以前ASP一句话的经典***吧! <...
禁用eval函数
weixin_44706754的博客
04-19 2806
(PHP 4, PHP 5, PHP 7) 无论是linux服务器还是windows服务器,eval命令是非常危险的 一、如何禁用eval命令 在php.ini中这样设置disable_functions =eval是无法禁用eval的,根据php手册说明,eval是一个语言构造器而不是一个函数。如果要禁用eval,则需要第三方扩展,使用Suhosin linux下suhosin的安装: wg...
php 一句话 eval禁用,linux环境安装Suhosin禁用eval函数防一句话木马教程
weixin_35361584的博客
03-17 935
大多数一句话木马通过eval函数进行植入,如果能禁用掉eval函数,可以进一步加固服务器安全。而eval函数是无法通过php.ini直接禁用的,需要安装Suhosin扩展进行禁用。以下教程适用于php5.4版本(以下操作建议由专业运维人员操作)因为宝塔后台没有内置这个插件,所以我们需要连接服务器,通过命令行安装,首先链接登录服务器。然后按一下步骤操作。1、下载扩展源码(有些扩展版本需要与PHP版本...
基于Q-learning算法在能源市场中实现效益最大化研究(Matlab代码实现)
最新发布
12-09
基于Q-learning算法在能源市场中实现效益最大化研究(Matlab代码实现)
基于PSO-BP神经网络的风电功率预测研究(Matlab代码实现)
12-09
基于PSO-BP神经网络的风电功率预测研究(Matlab代码实现)
物联网4G DTU远程单路控制器
12-09
由四川芯波智创物联技术有限公司自主研发芯波智创物联网硬件一:边缘计算4G远程单路IO口控制器。亮点一:适合于低成本四基远程单路控制,亮点二:可定制边缘计算本地协议重组,对接各个物联网云平台,亮点三:可远程快速二次开发,具备双通道MQTT。欢迎合作咨询!
eval使用什么代替
07-16
<think>在JavaScript中,`eval()`函数用于执行字符串形式的代码。然而,使用`eval()`存在一些安全性和性能问题: 1. **安全性问题**:如果执行的字符串来自用户输入,可能会执行恶意代码。 2. **性能问题**:`eval()`会动态执行代码,无法被JavaScript引擎优化,导致性能下降。 因此,通常建议避免使用`eval()`。以下是一些替代方案: ### 1. 使用函数构造器(Function constructor) - 使用`new Function()`可以创建一个新的函数,它接受参数和函数体字符串。这种方式比`eval()`更安全,因为它只在函数内部作用域执行代码,而不是当前作用域。但同样需要注意安全性问题。 - 示例: ```javascript const sum = new Function('a', 'b', 'return a + b'); console.log(sum(2, 3)); // 5 ``` ### 2. 使用JSON解析(JSON.parse) - 如果你需要解析JSON字符串,应该使用`JSON.parse()`而不是`eval()`,因为`eval()`会执行任何JavaScript代码,而`JSON.parse()`只解析JSON字符串。 - 示例: ```javascript const jsonString = '{"name": "Alice", "age": 30}'; const data = JSON.parse(jsonString); console.log(data.name); // Alice ``` ### 3. 使用点表示法或方括号表示法访问属性 - 当需要动态访问对象属性时,可以使用方括号表示法,而不是使用`eval()`。 - 示例: ```javascript const obj = { name: 'Alice' }; const propertyName = 'name'; console.log(obj[propertyName]); // Alice ``` ### 4. 使用`window`对象(仅限浏览器环境) - 在浏览器环境中,全局变量是`window`对象的属性。因此,可以通过`window`对象来访问全局变量,而不需要使用`eval()`。 - 示例: ```javascript // 假设有一个全局变量叫 globalVar var globalVar = 10; const variableName = 'globalVar'; console.log(window[variableName]); // 10 ``` ### 5. 使用Map或对象存储动态值 - 如果需要动态执行一些操作,可以事先将函数或值存储在Map或对象中,然后通过键名来获取。 - 示例: ```javascript const operations = { add: (a, b) => a + b, subtract: (a, b) => a - b }; const op = 'add'; console.log(operations[op](2, 3)); // 5 ``` ### 6. 使用`setTimeout`或`setInterval`(当需要执行字符串代码时) - 虽然`setTimeout`和`setInterval`可以接受字符串代码,但同样不推荐,因为和`eval()`有相同的安全问题。推荐使用函数作为参数。 - 示例(不推荐): ```javascript setTimeout("console.log('Hello')", 1000); // 不推荐 ``` - 推荐方式: ```javascript setTimeout(() => { console.log('Hello'); }, 1000); ``` ### 总结 尽量避免使用`eval()`,除非你完全信任字符串的来源并且没有其他替代方法。在大多数情况下,都可以通过其他更安全、更高效的方式实现相同的功能。 §§相关问题§§: 1. 为什么使用eval()是不安全的? 2. 在哪些场景下,eval()是必须使用的? 3. 如何安全地使用eval()? 4. 使用Function构造器与eval()有什么区别?</think>在 JavaScript 中,**`eval()` 函数应该尽量避免使用**,因为它存在严重的安全风险和性能问题。以下是推荐的替代方案: ### 替代方案及代码示例: 1. **使用 `Function` 构造函数** 创建独立作用域的函数执行环境: ```javascript const dynamicCode = 'return a + b'; const sum = new Function('a', 'b', dynamicCode); console.log(sum(2, 3)); // 输出: 5 ``` 2. **JSON 解析(`JSON.parse()`)** 安全处理 JSON 字符串: ```javascript const jsonString = '{"name": "Alice", "age": 30}'; const data = JSON.parse(jsonString); console.log(data.name); // 输出: Alice ``` 3. **方括号属性访问** 动态访问对象属性: ```javascript const user = { name: "Bob", age: 25 }; const property = "name"; console.log(user[property]); // 输出: Bob ``` 4. **使用 `Map` 存储动态值** 安全存储和检索动态数据: ```javascript const valueMap = new Map(); valueMap.set("key1", () => console.log("Hello from Map!")); valueMap.get("key1")(); // 输出: Hello from Map! ``` 5. **沙箱环境(如 `vm` 模块)** Node.js 中的安全执行环境: ```javascript // Node.js 专用 const vm = require('vm'); const sandbox = { result: null }; vm.createContext(sandbox); vm.runInContext('result = 10 * 5', sandbox); console.log(sandbox.result); // 输出: 50 ``` ### 为什么避免 `eval()`? - **安全风险**:直接执行任意字符串代码可能导致 XSS 攻击或数据泄露 - **性能问题**:无法被 JavaScript 引擎优化,执行速度慢 - **作用域污染**:直接访问和修改当前作用域变量,破坏封装性 - **调试困难**:生成的代码难以追踪和调试 > 💡 最佳实践:99% 的场景都可以通过上述替代方案解决。除非在绝对受控的环境下(如内部工具),否则不要使用 `eval()`。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值