Javascript-форум (https://javascript.ru/forum/)
-   Javascript под браузер (https://javascript.ru/forum/css-html/)
-   -   конкатенации переменных черех eval (https://javascript.ru/forum/css-html/30652-konkatenacii-peremennykh-cherekh-eval.html)

Ska1n 10.08.2012 23:45
конкатенации переменных черех eval
 
День добрый, наткнулся в доках на описание eval, мол он не безопасен при передачи, например, JSON. Подскажите, пожалуйста, опасно ли использовать eval в подобном виде:
var f_insDoorSelect = "One";
var f_insEDoorPanel = "1";
var b_insE1One = false;

alert(eval("b_insE"+f_insEDoorPanel+f_insDoorSelect)); //ответ - false


Хочу просто использовать, примерно для такого:
при нажатие на объект, средствами jquery вытаскивается value объекта и приписывается к переменной:
eval('b_insE'+f_insEDoorPanel+f_insDoorSelect+' =$(this).attr("value")'); //insE1One получает value объекта

Вот и переживаю, насколько безопасно подобный метод использовать?

oneguy 11.08.2012 00:03
Если вы контролируете значения переменных f_insEDoorPanel и f_insDoorSelect, то безопасно, а если они вводятся пользователем и не профильтрированы должным образом на сервере, то возможна атака XSS, так как эти переменные могут содержать код Джаваскрипта.

Ska1n 11.08.2012 00:07
отлично, теперь все понятно. Благодарю за разъяснение


Часовой пояс GMT +3, время: 18:14.