Я вам на клиентской стороне вообще ничего не могу гарантировать, независимо от использования eval. Вы, кажется, начитались статей про PHP и интерполируете их на JavaScript.
Tim,
А xml по-вашему это не траффик? Подключить 1 раз небольшую либу, еще и минифай/обфускейт ее, или все время "переплачивать" на траффике из-за xml -- что лучше?
alexKniaz,
подумайте головой, и будет ясно, почему нельзя взломать сайт за счет только клиентского кода. Или хотя бы приведите пример уязвимого js-кода.
