Почти все обфускаторы впадают в коматоз, когда видят eval. Так его прячут от обфускатора, заведомо зная, что eval ничего не сломает в обфусцированном коде.

Избегать eval путём использования new Function? И какой смысл тогда в этом?Смотря где и как его использовать. Пример:
Есть приложение, получающее откуда-нибудь JSON. И парсится этот JSON не с помощью JSON.parse, а с помощью eval'а. Тогда злоумышленник, получив доступ к скрипту, отдающему этот JSON, может вернуть что-нибудь вроде

(function () {
	/* some code stealing your cookie */
}(), { /*some json data*/ })

Тогда контекст будет захвачен.

(function(){
  var a = 5;
  eval("alert(typeof a)");
  window.eval("alert(typeof a)");
})()

Не давайте детям в руки оголенные провода под напряжением. А если они уже взяли, то им ничем не поможешь.

Соглашусь с Gozar, никакой отказ от использования eval не спасет от криворукого программиста, да и вообще от кривых рук и головы.

не знаю каким вы пользуетесь обфускатором, но я пользуюсь Closure Compiler и что-то ни разу не видел что бы он плюнул в ответ на то что я где то пихну eval, хотя часто юзаю такую конструкцию:

var msie = eval("/*@cc_on (@_jscript_version+'').replace(/\\d\\./, '');@*/");

почему не юзаю так:

var msie = /*@cc_on (@_jscript_version+'').replace(/\d\./, '');@*/

потому что обфускатор вырезает этот код, так как считает его обычным комментарием.

Слово "почти" видишь в процитированном сообщении?

до этого пользовался яховским тоже не замечал трудностей... возможно пакеры его не любят, так как сами любят его использовать. Их я не юзал.

Вот яховский абсолютно точно переставал сжимать. Может быть в каком-то режиме. Он не ругался, он просто не сжимал ту часть, куда мог залезть eval.

...

karnas,
Покажи мне место в твоем скрипте где есть evalHTML.