Bilakah Anda Harus Menggunakan `eval()` vs `new Function()` dalam JavaScript?

Adakah eval() dan Function() baharu Boleh Ditukar dalam JavaScript?

Apabila bekerja dengan rentetan yang mengandungi kod JavaScript, dua fungsi biasanya timbul: eval() dan Fungsi baharu(). Walaupun kedua-duanya boleh melaksanakan kod yang dibenamkan dalam rentetan, ia mempamerkan ciri dan tingkah laku yang berbeza.

eval() vs new Function(): Perbezaan Utama

• Skop: Perbezaan utama terletak pada skopnya. eval() menilai kod dalam skop pelaksanaan semasa, bermakna ia mempunyai akses kepada pembolehubah tempatan. Sebaliknya, Function() baharu mencipta skop baharu dan tidak boleh mengakses pembolehubah setempat secara langsung.
• Keselamatan: eval() terkenal dengan kerentanan keselamatan. Ia membenarkan penilaian kod arbitrari, yang boleh membawa kepada pelaksanaan kod berniat jahat jika rentetan input tidak dipercayai. new Function() adalah lebih selamat kerana ia menghuraikan kod ke dalam objek fungsi yang berjalan dalam skop berasingan.

Memahami Coretan Kod

Coretan kod yang anda berikan menunjukkan gelagat berbeza eval() dan Function() baharu:

<code class="javascript">var evaluate = function(string) {
    return eval('(' + string + ')');
}

var func = function(string) {
    return (new Function( 'return (' + string + ')' )());
}</code>

Kedua-dua fungsi menilai rentetan "2 1" dan mengembalikan hasilnya. Walau bagaimanapun, jika anda mengubah suai kod untuk memasukkan pembolehubah tempatan "a" dalam fungsi, anda akan melihat bahawa eval() boleh mengakses dan mengubah suai pembolehubah setempat, manakala Function() baharu tidak akan.

Awas dan Amalan Terbaik

Walaupun eval() dan Function() baharu menawarkan cara yang mudah untuk melaksanakan kod dinamik, ia harus digunakan dengan berhati-hati:

• Elakkan eval(): eval() biasanya tidak digalakkan kerana risiko keselamatan dan kebimbangan prestasi.
• Gunakan Function() baharu dengan berhati-hati: Function() baharu adalah lebih selamat daripada eval( ), tetapi ia masih boleh terdedah kepada serangan suntikan.
• Sanitize input: Sentiasa pastikan kod yang anda laksanakan melalui eval() atau new Function() dibersihkan dan dipercayai.

Dalam kebanyakan kes, adalah disyorkan untuk bergantung pada ciri bahasa JavaScript yang telah ditetapkan untuk pelaksanaan kod dinamik, seperti literal templat atau pembina Fungsi tanpa baharu.

Atas ialah kandungan terperinci Bilakah Anda Harus Menggunakan `eval()` vs `new Function()` dalam JavaScript?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!