Wenn irgendetwas fehlt oder zu viel ist, bin ich fuer Meinungen, Kritik, Vorschlaege etc offen. Nur sollte es im Titel ersichtlich sein, wenn es darum geht.

Ich hab ich einen Blick auf die Seite geworfen und mir eine Quelle von dir angesehen.

Der Thread http://boardunity.de/eval-oder-doch-evil-t1512.html geht doch arg am Thema vorbei, da der Autor auch die Hinweise nicht versteht und es sowieso um PHP geht, das in Punkto Sicherheit ganz andere Anforderungen stellt als JS (Server <-> Client).
Unter JS spielt eval als Sicherheitslücke keine Rolle, da JS Lücken einen Angriff auf den Client darstellen. Höchstens um einen Code zu verschleiern, aber das bedeutet ja das eval gut wäre (um das Ziel zu erreichen).
eval parst einen String und führt in dann gegebenfall aus, d.h. eval produziert einiges an Overhead (nochmalige Initialisierung der JS Engine), der in aller Regel unnötig ist. Daher ist eval in JS immer langsamer, als das direkte Ausführen des codes. Es gibt aber ganz wenige Spezialfälle, wo eval sinnvoll und nötig ist.

Und noch eine kleine Unsauberkeit: "javascript:" ist kein Pseudoeventhandler, sondern ein Pseudoprotokoll, dass einen Javascript Event (onclick) ausllöst.

Struppi.