Sta usando javascript eval() sicuro per calcoli semplici in input?

Vorrei consentire all'utente di eseguire calcoli semplici negli input di testo, in modo che digitando 2 * 5 si ottenga 10. Ricollego tutto tranne le cifre con una stringa vuota e quindi eseguo il calcolo utilizzando eval(). Questo sembra più facile e probabilmente più veloce quindi analizzarlo manualmente.Sta usando javascript eval() sicuro per calcoli semplici in input?

Spesso si dice che eval() non è sicuro, quindi mi piacerebbe sapere se c'è qualche pericolo o inconveniente di usarlo in questa situazione.

function (input) { 
    value = input.value.replace(/[^-\d/*+.]/g, ''); 
    input.value=eval(value); 
}

fonte

2012-12-24 Oskar Skuteli

'var value' * sigh * – katspaugh

E poi farai chiedere alla gente perché i risultati di' 2 + 2e-3' '1' invece di' 2.002'. Avvisa le persone dell'input non valido, non buttarlo via silenziosamente. E provare/prendere la valutazione, in modo da poter dire all'utente se non è riuscito. – DCoder

che è sicuro, non perché si sta sanificazione, ma perché è tutto inserito dall'utente ed eseguire nel proprio browser. Se volevano davvero inserire un codice malevolo, potevano farlo comunque usando firebug o web inspector, o anche usando un bookmarklet. Per fortuna, non c'è molto che tu possa fare malintenzionalmente con javascript tranne bloccare il tuo browser :)

fonte

2012-12-24 11:39:28

questo è sicuro perché si sta eseguendo la convalida dell'input prima di metterlo in valutazione.

oltre si dovrebbe anche aggiungere:

()%

fonte

2012-12-24 11:35:16 GottZ

Questo non è * convalida *, cioè * filtraggio *. – DCoder

Non ho aggiunto() perché 1() avrebbe causato l'errore "non è una funzione" in una console e non mi piace vederlo; anche la valutazione può fallire a causa di parentesi graffe non corrispondenti. Anche se probabilmente dovrei usare try/catch. Grazie per il modulo e l'esponente dell'altro post. –

Sta usando javascript eval() sicuro per calcoli semplici in input?

risposta

Problemi correlati