Mahlzeit pother_dane,

trotzdem die frage: was ist denn evil an eval? so aus reinem interesse.

Es besteht bei Anwendung von eval() grundsätzlich die Gefahr, dass Code, der dem Entwickler zur Entwicklungszeit unbekannt ist, da er z.B. erst zur Laufzeit des Skripts dynamisch zusammengesetzt wird, im Kontext des Skripts ausgeführt wird - ohne dass irgendwer weiß, WAS überhaupt ausgeführt wird und welche Auswirkungen das hat.

Es gibt sicherlich Möglichkeiten, diese Risiken zu minimieren und den auszuführenden Code kontrollierbar(er) zu halten - diese sind aber insbesondere Anfängern bzw. Ungeübten oft nicht bekannt, so dass gerade diese Personen (unwissentlich) riesige Sicherheitslücken aufreißen, wenn sie erlauben, dass irgendwelche Benutzereingaben durch irgendwelche obskuren Funktion ohne ausreichende Überprüfung irgendwelchen Code erzeugen, der dann einfach ausgeführt wird ... und schon erzeugen sie z.B. für XSS anfällige Seiten oder noch Schlimmeres.

MfG,
EKKi