Moin,

eval() ist i.d.R. einfach unnützer Overhead, da das eigentlich Erwünschte auch direkt (also schneller) erledigt werden kann (so ja auch hier). Warum dann erst Code extra interpretieren lassen?

Also den Overhead kann ich hier nicht wirklich erkennen,
denn ob ich ein Objekt aus einem String erzeuge oder den String eval'le, bleibt vom Aufwand her tendeziell gleich, tät ich sagen - in beiden Fällen brauchst Du irgendwas, was den String parsed und entsprechend kovertiert.

Was die Sicherheit angeht, so gebe ich Dir recht - im Serverbereich, bei JavaScript find ichs jetzt nicht so kritisch.

Grüße,
Jörg