开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

为什么使用'eval'是一种不好的做法？

使用eval是一种不好的做法，因为它可能导致安全漏洞和不可预测的代码执行。eval函数会执行一个字符串参数，该字符串通常是用户输入或者来自不可靠的来源的数据。这可能导致攻击者在你的应用程序中执行任意代码，从而窃取数据、破坏系统或者获得不受限制的访问权限。

以下是使用eval的一些潜在问题：

安全风险：执行未经验证的用户输入可能导致安全漏洞，如跨站脚本攻击（XSS）和跨站请求伪造（CSRF）。
性能问题：eval通常比解析和执行代码慢，因为它需要解析和编译代码。
可维护性：使用eval编写的代码通常难以阅读和维护，因为它将代码与数据混合在一起。
不可预测的行为：eval执行的代码可能依赖于全局状态，从而导致不可预测的行为。

替代方案：

使用JSON.parse和JSON.stringify处理JSON数据。
使用函数和模块处理可重用的代码。
使用沙箱或其他安全机制执行不受信任的代码。

推荐的腾讯云相关产品和产品介绍链接地址：

腾讯云云函数：https://cloud.tencent.com/product/scf
腾讯云COS：https://cloud.tencent.com/product/cos
腾讯云CAM：https://cloud.tencent.com/product/cam
腾讯云API网关：https://cloud.tencent.com/product/apigw
腾讯云数据库产品：https://cloud.tencent.com/product/database

这些产品可以帮助您构建安全、可扩展和高性能的云应用程序，而无需使用eval。

相关搜索:ActiveRecord是不好的做法？C++模板发送“假参数”是不好的做法吗？Delphi"with"关键字是一种不好的做法吗？MVVM - 使用简单模型作为自己的视图模型是一种不好的做法？OOP中的默认参数是不好的做法吗？Socket.io -使用多个函数参数是不好的做法吗？为什么使用另一个依赖项的依赖项是不好的做法？为什么在C++的函数中创建对象是一种不好的做法？为什么在Flutter/Android客户端上使用FCM服务器密钥是不好的做法？为什么在SQL Server中使用游标被认为是不好的做法？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

求长度的另一种方法(""+obj).Length

ASP.Net页面绑定时，标题超过20则省略，常规做法： Eval("Title")==null?"":(Eval("Title").ToString().Length<=20?Eval("Tit

07

过去三个月，LLaMA系模型发展如何？指令微调的核心问题又是什么？

ChatGPT 大火之后，在 2023 年 2 月 24 日，LLaMA 的出现让 instruction tuning 这个方向变得火热；3 月 18 日，Alpaca 让大家看到从成熟的模型 distill 小模型成为还不错的 ChatBot 的可能性，从而引发羊驼系模型寒武纪大爆发。但仅仅过去三个月，大家开始发现意识到用 ChatGPT 的数据训练 LLaMA 的各种问题。本文回顾在过去三个月内的 LLaMA 系模型的发展，讨论 Instruction Tuning 的下一步挑战。

03

词法作用域

大部分标准语言编译器的第一个工作阶段叫做词法化。词法化的过程会对源代码中的字符进行检查，如果是有状态的解析过程，还会赋予单词语义。

02

编程实现一个有GUI的24点游戏

24点是指从去除大小王后的52张扑克牌中任取 4 张，通过「加、减、乘、除」四则运算得到 24。是一个历史悠久的趣味小游戏。

02

《JavaScript 模式》读书笔记（2）— 基本技巧2

for循环经常用在遍历数组或者类数组对象，如引数（arguments）和HTML容器（HTMLColltion）对象。通常for循环模式使用如下：

01

《JavaScript 模式》读书笔记（2）— 基本技巧2「建议收藏」

for循环经常用在遍历数组或者类数组对象，如引数（arguments）和HTML容器（HTMLColltion）对象。通常for循环模式使用如下：

04

JavaScript中eval和with语句如何影响作用域链：探索深度知识

01

编写Linux Shell脚本的最佳实践

由于工作需要，最近重新开始拾掇shell脚本。虽然绝大部分命令自己平时也经常使用，但是在写成脚本的时候总觉得写的很难看。而且当我在看其他人写的脚本的时候，总觉得难以阅读。毕竟shell脚本这个东西不算是正经的编程语言，他更像是一个工具，用来杂糅不同的程序供我们调用。因此很多人在写的时候也是想到哪里写到哪里，基本上都像是一段超长的main函数，不忍直视。同时，由于历史原因，shell有很多不同的版本，而且也有很多有相同功能的命令需要我们进行取舍，以至于代码的规范很难统一。考虑到上面的这些原因，我查阅了一些相关的文档，发现这些问题其实很多人都考虑过，而且也形成了一些不错的文章，但是还是有点零散。因此我就在这里把这些文章稍微整理了一下，作为以后我自己写脚本的技术规范。

03

什么是JavaScript的严格模式

在 JavaScript 中，该语言提供了一种称为“严格模式”的功能，该功能在 ECMAScript 5 (ES5) 中引入，可帮助开发人员避免常见的 JavaScript 陷阱。在本文中，我们将深入探讨什么是严格模式、如何启用它以及它提供的好处。

02

简单说 eval 函数

我觉得eval( )函数是一个比较有趣的函数，虽然我平常基本用不到它。但我们还是来说说吧！

01

拦截 Redis 命令导致的 Lua 脚本执行失败问题分析

大家好，今天分享一个在使用 redis lua 脚本过程中遇到的一个问题，问题不难，但是容易踩坑。

07

python 安全编码&代码审计

现在一般的web开发框架安全已经做的挺好的了，比如大家常用的django，但是一些不规范的开发方式还是会导致一些常用的安全问题，下面就针对这些常用问题做一些总结。代码审计准备部分见《php代码审计》，这篇文档主要讲述各种常用错误场景，基本上都是咱们自己的开发人员犯的错误，敏感信息已经去除。

01

Leetcode 989. 数组形式的整数加法(简单)

https://leetcode-cn.com/problems/add-to-array-form-of-integer/

01

编写Linux Shell脚本的最佳实践

来自：Myths的个人博客作者：myths 链接：https://blog.mythsman.com/2017/07/23/1/（点击尾部阅读原文前往）前言由于工作需要，最近重新开始拾掇shell脚本。虽然绝大部分命令自己平时也经常使用，但是在写成脚本的时候总觉得写的很难看。而且当我在看其他人写的脚本的时候，总觉得难以阅读。毕竟shell脚本这个东西不算是正经的编程语言，他更像是一个工具，用来杂糅不同的程序供我们调用。因此很多人在写的时候也是想到哪里写到哪里，基本上都像是一段超长的main函数，不

09

编写Linux Shell脚本的最佳实践

由于工作需要，最近重新开始拾掇shell脚本。虽然绝大部分命令自己平时也经常使用，但是在写成脚本的时候总觉得写的很难看。而且当我在看其他人写的脚本的时候，总觉得难以阅读。毕竟shell脚本这个东西不算是正经的编程语言，他更像是一个工具，用来杂糅不同的程序供我们调用。因此很多人在写的时候也是想到哪里写到哪里，基本上都像是一段超长的main函数，不忍直视。同时，由于历史原因，shell有很多不同的版本，而且也有很多有相同功能的命令需要我们进行取舍，以至于代码的规范很难统一。

02

GridView中将”0和1“显示成”是和否“

如下图，今天用GridView显示一列smallint(其实这里也可以用布尔型)为：是和否，通常的做法是用TemplateField直接前端页面显示而非用BoundField来显示。

03

干货 | 关于反爬虫，看这一篇就够了

你被爬虫侵扰过么？当你看到“爬虫”两个字的时候，是不是已经有点血脉贲张的感觉了？千万要忍耐，稍稍做点什么，就可以在名义上让他们胜利，实际上让他们受损失。一、为什么要反爬虫 1、爬虫占总PV比例较高，这样浪费钱（尤其是三月份爬虫）。三月份爬虫是个什么概念呢？每年的三月份我们会迎接一次爬虫高峰期。最初我们百思不得其解。直到有一次，四月份的时候，我们删除了一个url，然后有个爬虫不断的爬取url，导致大量报错，测试开始找我们麻烦。我们只好特意为这个爬虫发布了一次站点，把删除的url又恢复回去了。但是当

关于反爬虫，看这一篇就够了

本文来自携程酒店研发部研发经理崔广宇在第三期【携程技术微分享】上的分享，以下为整理的内容概要。墙裂建议点击下方视频，“现场”围观段子手攻城狮大崔，如何高智商&高情商地完美碾压爬虫。。。

02

携程：关于反爬虫，看这一篇就够了

编者：本文来自携程酒店研发部研发经理崔广宇在第三期【携程技术微分享】上的分享，以下为整理的内容概要。墙裂建议点击视频回放（http://v.qq.com/page/j/o/t/j0308hykvot.html），“现场”围观段子手攻城狮大崔，如何高智商&高情商地完美碾压爬虫。。。关注携程技术中心微信公号ctriptech，可第一时间获知微分享信息~ 你被爬虫侵扰过么？当你看到“爬虫”两个字的时候，是不是已经有点血脉贲张的感觉了？千万要忍耐，稍稍做点什么，就可以在名义上让他们胜利，实际上让他们受损失。一、为

Javascript[0x06] -- 基于Javascript范畴代码风格和规范的总结

抓重点：这么多要看到猴年马月去，找一个对的上眼的深入学习下，切勿都学，没这个必要，粗略扫读，有针对性阅读！

02

response中如何设置contentType

大家好，又见面了，我是你们的朋友全栈君。ajax开发中, 常遇到下面的几种情况:

03

编写Shell脚本的最佳实践

由于工作需要，最近重新开始拾掇shell脚本。虽然绝大部分命令自己平时也经常使用，但是在写成脚本的时候总觉得写的很难看。而且当我在看其他人写的脚本的时候，总觉得难以阅读。毕竟shell脚本这个东西不算是正经的编程语言，他更像是一个工具，用来杂糅不同的程序供我们调用。因此很多人在写的时候也是想到哪里写到哪里，基本上都像是一段超长的main函数，不忍直视。同时，由于历史原因，shell有很多不同的版本，而且也有很多有相同功能的命令需要我们进行取舍，以至于代码的规范很难统一。考虑到上面的这些原因，我查阅了一些相关的文档，发现这些问题其实很多人都考虑过，而且也形成了一些不错的文章，但是还是有点零散。因此我就在这里把这些文章稍微整理了一下，作为以后我自己写脚本的技术规范。

01

web 页面在浏览器运行eval性能分析和优化

网上对eval 的争论也非常激烈，大部分不建议使用，一些人观点是用不好才导致问题。

01

Rc-lang开发周记8 OOP之成员函数调用

本周做的内容不多，主要都是在做基础的成员调用相关工作（也只处理了成员函数，还没处理成员变量），然后就是修复一些问题添加了一些dump设施（目前做的并不好，等做好了可以单独拿一期讲一下），以及学习了解了一些其他语言相关的知识。

01

23条JavaScript初学者应知的最佳实践方法

JavaScript使用两种相等性操作符：===|!==和==|!=。通常认为做比较的最佳实践是使用前一组操作符。

03

JS 的 9 种作用域，你能说出几种？

作用域想必大家都知道，就是变量生效的范围，比如函数就会生成一个作用域，声明的变量只在函数内生效。

04

Global eval. What are the options?

David Flanagan最近写了一个关于全局eval的简单表达式，可以用一行式子表示： var geval = this.execScript || eval; 尽管看起来很简短，但是跨浏览器的兼容性并不好。仔细考虑了下这个话题，我觉得还有一些方法来实现代码的全局执行。而且有些方法--间接eval--并不为人所熟知，而且它们的内涵也不容易让人们所接受，本文主要介绍下该技术。为了可以更清晰的讲解间接eval，我打算先回顾”全局eval“的方法，并回顾它们是如果起作用的，我也

06

Rc-lang开发周记11 重构与Lexer

本周一开始重构了一下vm的部分代码，之后基本上都是在用新语言重写parser的部分。

02

i18next-页面层语言国际化js框架介绍

因为工作需要，最近研究了下网站语言国际化的问题，根据当前项目架构，寻求一种较好的解决方案。首先总结下项目中语言切换实现方式大概有以下几种： 1，一种语言一套页面，如：index_CN.html，index_TN.html，index_EN.html 根据用户当前使用语言来展示对应的页面。这种方式比较常用，也比较理想，性能不错，但是开发使用的时间就多，每个页面要多做几遍。 2，后台定义变量，根据当前语言返回对应语言信息这种方式不好使，麻烦，页面所有静态显示文本处都需要定义变

23条JavaScript初学者应知的最佳实践方法

JavaScript使用两种相等性操作符：===|!==和==|!=。通常认为做比较的最佳实践是使用前一组操作符。

01

将不规则的Python多维数组拉平到一维，你学废了吗？

常规的方法就都会不好使，我会教大家通过递归或栈来实现深度优先遍历策略来解决这个问题。

01

JavaScript词法作用域

with eval 性能不好：JavaScript引擎无法预先得知它们创建的词法作用域，无法预先在编译阶段做性能优化。

03

JS学习系列 02 - 词法作用域

“作用域”我们知道是一套规则，用来管理引擎如何在当前作用域以及嵌套的子作用域中根据标识符名称进行变量查找。

03

大模型免微调解锁对话能力，RLHF没必要了！一作上交大校友：节省大量成本和时间

要搞大模型AI助手，像ChatGPT一样对齐微调已经是行业标准做法，通常分为SFT+RLHF两步走。

01

eval在python中是什么意思_如何在Python中使用eval ？

在Python中，我们有许多内置方法，这些方法对于使Python成为所有人的便捷语言至关重要，而eval是其中一种。eval函数的语法如下：

06

Scalaz（59）－ scalaz-stream: fs2-程序并行运算，fs2 running effects in parallel

scalaz-stream-fs2是一种函数式的数据流编程工具。fs2的类型款式是：Stream[F[_],O]，F[_]代表一种运算模式，O代表Stream数据元素的类型。实际上F就是一种延

06

【Pycharm】IDE Eval Resetter 相关

IDE Eval Resetter 是 pengzhile 这位大佬写的一款插件。

03

三个臭皮匠赛过诸葛亮！白话Blending和Bagging

本文将主要介绍Aggregation Models，也就是把多个模型集合起来，利用集体的智慧得到最佳模型。 ”

01

对《30个提高Web程序执行效率的好经验》的理解

阅读了IT文章《30个提高Web程序执行效率的好经验》，这30条准则对我们web开发是非常有用的，不过大家可能对其中的一些准则是知其然而不知其所以然。下面是我对这些准则的理解和分析，有些有关JS性能的准则，我也测试了它们的差异，大家可以下载DEMO页面，如有理解不正确的地方，请大家指正。也非常欢迎大家补充。测试环境： OS:Vista; Processor:3.40GHz; Memory: 2.00GB; System type: 32-bit Operating System; Browser: IE

05

从javascript脚本混淆说起

脚本病毒是一个一直以来就存在，且长期活跃着的一种与PE病毒完全不同的一类病毒类型，其制作的门槛低、混淆加密方式的千变万化，容易传播、容易躲避检测，不为广大网民熟知等诸多特性，都深深吸引着各色各样的恶意软件制作者 … 小到一个不起眼的lnk快捷方式，大到一个word文档，都是脚本的载体。本文主要以 js脚本为例(特指JScript，下同 )，具体结合实际样本，讲述混淆方式及其混淆类型检测相关知识，文章受限于样本个数及其种类，存在一定的局限性，但大致情况应当不会相差太大。本系列首先会对jscript及其脚本进行

04

[AI MoA] 原来这就是 MoA(Mixture-of-Agents)

今天看到一个项目，Mixture-of-Agents (MoA)，打开了一个新思路。

01

够狠！让员工互相PK，工资降最多的留下来！

新粉请关注我的公众号从来没有想过，我在21世纪还能够见到这样奇葩的事情。我真的有点不知道说什么的愤怒了。没办法。最近深圳的一家公司牛逼的不得了。因为经济形势不好，公司要降薪节约成本。但是公司没有直接说要降薪多少，而是发明了一个办法。这个办法就是让员工们写自己原来的工资是多少，自愿降低到多少。等大家都写好以后，公司选择自愿降薪最多最狠的留下来。让打工人内卷，互相竞价，最后资本家赚取最大的利益，这个做法，我还以为只有在梦里才会发生的事情，居然，现实里也发生了。这真的是万万没想到，万万不敢想啊。自愿

02

12 种使用 Vue 的最佳做法

随着 VueJS 的使用越来越广泛，出现了几种最佳实践并逐渐成为标准。在本文中，主要分享在平时开发中一些有用资源和技巧，废话少说，我们开始吧。

01

一文详解Inception家族的前世今生（从InceptionV1-V4、Xception）附全部代码实现

【导读】今天将主要介绍Inception的家族及其前世今生.Inception 网络是 CNN 发展史上一个重要的里程碑。在 Inception 出现之前，大部分 CNN 仅仅是把卷积层堆叠得越来越多，使网络越来越深，以此希望能够得到更好的性能。而Inception则是从网络的堆叠结构出发，提出了多条并行分支结构的思想，后续一系列的多分支网络结构均从此而来。总体来说，Inception系列网络在结构上相对比较复杂，工程性较强，而且其中通常使用很多tricks来提升网络的综合性能（准确率和速度）。目前Inception系列具体网络结构包括：

03

【译】Python的优雅技巧

如果我们除以一个整数，即使结果是一个浮点数，Python（2）依旧会给我们一个整数。为了规避这个问题，我们需要这样做：

02

go 学习笔记之学习函数式编程前不要忘了函数基础原

在编程世界中向来就没有一家独大的编程风格,至少目前还是百家争鸣的春秋战国,除了众所周知的面向对象编程还有日渐流行的函数式编程,当然这也是本系列文章的重点.

04

【Pytorch】model.train() 和 model.eval() 原理与用法

pytorch可以给我们提供两种方式来切换训练和评估(推断)的模式，分别是：model.train( ) 和 model.eval( )。

02

JS逆向之漫画柜

第二种就是按照之前的文章提到的分析流程,我们分析一遍,虽然麻烦点会走弯路但是适合新手:

03

解决强化学习反馈稀疏问题之HER方法原理及代码实现

本文将介绍一种修改目标，使有效回报数量变多的方法。该方法称简称HER (paper地址)：https://arxiv.org/abs/1707.01495v1。

02

前端性能优化（一）

前端是庞大的，包括 HTML、 CSS、 Javascript、Image 、Flash等等各种各样的资源。前端优化是复杂的，针对方方面面的资源都有不同的方式。那么，前端优化的目的是什么 ? 　　1

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭