Tach!

Das Einschleusen von Code ist ein Riesenproblem und jede Möglichkeit dazu ist dementsprechend, so es irgend geht, zu vermeiden. In dieser Hinsicht ist es bemerkenswert, dass mittlerweile durchaus darauf geachtet wird, etwa von Benutzern übergebene Parameter für einen SQL-Befehl abzusichern – quasi den Nebeneingang zu verrammeln –, aber das Scheunentor, das direkte Ausführen wirklich jeden beliebigen Codes mittels eval und dergleichen (es geht nicht nur um Javascript) so völlig unkritisch betrachtet wird.

So stimmt das ja nun auch wieder nicht. Zum einen kommt es überhaupt nicht darauf an, wo die Daten herkommen, die in ein SQL-Statement eingebettet werden sollen. Alle müssen die Syntaxregeln einhalten, nicht nur die Daten aus Nutzereingaben. Zum anderen gibt es durchaus Situationen in Javascript-Anwendungen, bei denen die Werte für das eval() nicht von außen gesetzt werden können. Für solche Anwendungen sollte es kein Problem. Es geht nicht darum, eval() in Javascript als generell gleichwertig zur Konsole zu betrachten, sondern differenziert die jeweiligen konkreten Umstände zu berücksichtigen.

dedlfix.