JavaScript危险函数|eval()函数

最新推荐文章于 2024-03-06 21:52:02 发布
最新推荐文章于 2024-03-06 21:52:02 发布
阅读量5.4k 收藏 13
点赞数 1
文章标签: javascript 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60115503/article/details/124241308
版权

描述

eval()是全局对象的一个函数属性

eval()的参数是一个字符串,如果字符串表示的是表达式,eval()会对表达式进行求值,如果参数表示一个或多个JavaScript语句,那么eval()就会执行这些语句,不需要用eval()来执行一个算术表达式:因为javascript可以自动为算术表达式求值

如果你以字符串的形式构造了算术表达式,那么可以在后面用eval()对他求值,例如,假设你有一个变量x,你可以通过将表达式的字符串值(例如3*x+2)赋值给一个变量,然后在你的代码后面的其他地方调用eval(),来推迟涉及x的表达式的求值

如果eval()的参数不是字符串,eval()会将参数原封不动地返回,在下面例子中,String构造器被指定,而eval()返回了String对象而不是执行字符串

eval()的用法

        eval()函数可以用来计算某个字符串,并执行其中的javascript带啊吗,其语法eval(string);

        如果传入的参数不是字符串,则直接返回这个参数

eval()函数会将传入的字符串当作javascript代码进行执行

console.log(eval('17+9'));
//输出26
console.log(eval(new String('23+26')));
//输出expected 23+26
console.log(eval('17+9') == eval('26'));
//输出true
console.log(eval(new String('23+26')) == eval('23+26'));
//输出false

输出结果 

 

参数

eval(string)

一个表示Javascript表达式,语句或一系列语句的字符串,表达式可以包含变量与已存在对象的属性

返回值

        返回字符串中代码的返回值,如果返回值为空,则返回undefined

 如果eval()的参数不是字符串,eval()会将参数原封不动地返回,在下面例子中,string构造器被指定,而eval()返回了string对象而不是执行字符串

eval(new String("17+9"));
//返回了包含"17+9"的字符串对象
eval("63+23");
//returns 86

你可以使用一些通用的方法来绕过这个限制,例如使用toString()  

var experssion = new String("63+23");
eval(experssion.toString());
//最终输出的就是63+23

如果你间接的使用eval(),比如通过一个引用来调用它,而不是直接的调用eval,从ECMAScript 5起,它工作在全局作用域下,而不是局部作用域中,这就意味着,例如,下面的代码的作用声明创建一个全局函数,并且eval中的这些代码在执行期间不能在被调用的作用域中访问局部变量

function test(){
    var D = 17 , L = 15;
    console.log(eval('D + L'));
    //直接调用,使用本地作用域,结果是32
    var djxlyq = eval;
    //等价于在全局作用域调用
    console.log(djxlyq('D + L'));
    //间接调用,使用全局作用域,throws ReferenceError 因为'D'未定义
    (0,eval)('D + L');
    //另一个间接调用的例子
}

带有eval的危险函数格式

function looseJsonParse(djxlyq){
    return eval("(" + djxlyq + ")");
}
console.log(looseJsonParse(
    "{a:(63-23) , b:function(){} , c:new Date()}"))

代替eval的代码 

function looseJsonParse(djxlyq){
    return Function('"use strict";return(' + djxlyq + ')')();
}
console.log(looseJsonParse(
    "{a:(17-15), b:function(){}, c:new Date()}"
))

比较上面的两个代码片段,两个代码片段似乎是以相同的方式工作,但再想一想:eval的这个代码的速度要慢得多,注意c:new date()在执行体中,在没有eval函数中,对象在全局范围内被用来进行计算,因此浏览器可以放心的假设Date是来自windows.Date的而不是一个名为Date的局部变量

eval危险性

        eval函数可能有许多小的问题,总的来说有两个大问题 性能慢合代码植入

                性能--运行eval函数需要运行解释器/编译器,如果你的代码是编译的,那么这也是个大问题,因为你需要调用一个很重的编译器,但是JavaScript是一门解释性语言,这意味着在一般的情况下eval函数并不可能有很大的性能影响,js在解析期间也是需要调用,解释器或编译器,而不是需要再单独的调用另一个解释器或编译器,这种情况下eval函数并没有浪费很多时间

                代码注入问题 eval可能在权限提升的情况下运行一些代码,比如在管理员或者root权限下运行像"whoami rm等命令指令"但是在浏览器中的js没有这个问题,因为程序无论如何都是再用自己的账户中运行类似于php exec

toString()

        toString()方法可把一个Number对象转换为一个字符串,并返回结果

NumberObject.toString(radix)

radix:可选,规定表示数字的基数,使2~36之间的整数,若省略该参数,则使用基数10,但是要注意,如果该参数是10以外的其他值,则ECMAScript标准允许实现返回任意值

toString()返回值 

        数字的字符串表示,例如,当radix为2时,NumberObject会被转换为二进制值表示的字符串

toString()实例

        在本例中,将把一个数字转换为字符串:

<script type="text/javascript">
    var number = new Number(63);
    document.write(number.toString())
</script>
//输出值将是63但是类型是字符串类型

toString可以将int类型字符串转换为string字符串

QiaN_djx
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JavaScript Eval 函数使用
12-07
值得注意的 当传入是Json类型的时候要var user = eval(result.d); 当传入是字符串的时候要用eval(“exception = “+result.responseText); 代码如下:       $.ajax       (       {         type: “POST”,          contentType: “application/json”,         url: serviceURL+”/UserLogin”,         data: “{UserLoginID:'”+$(‘#txtLoginID’).val()+”‘,User
JS中eval函数的使用示例
10-27
eval函数会将 obj 当做代码去执行一遍,下面举个例子为大家详细介绍下具体的使用方法,感兴趣的朋友可以参考下哈,希望对大家有所帮助
python之eval函数使用详解
最新发布
yueguang8的博客
03-06 3678
eval() 函数可以将字符串作为 Python 表达式求值,将字符串转换为数据类型,执行代码块等。它在某些情况下可以方便地处理动态代码和计算,但需要谨慎使用以避免安全风险。
javascripteval函数用法分析
10-24
主要介绍了javascripteval函数用法,实例分析了javascripteval函数的使用技巧,非常具有实用价值,需要的朋友可以参考下
JavascriptEval函数的使用
12-10
eval()函数JavaScript有许多小窍门来使编程更加容易。 其中之一就是eval()函数,这个函数可以把一个字符串当作一个JavaScript表达式一样去执行它。 举个小例子: 代码如下: var the_unevaled_answer = “2 + 3”; var the_evaled_answer = eval(“2 + 3”); alert(“the un-evaled answer is ” + the_unevaled_answer + ” and the evaled answer is ” + the_evaled_answer); 如果你运行这段eval程序,
深入认识javascript中的eval函数
10-29
发现为本文起一个合适的标题还不是那么容易,呵呵,所以在此先说明下本文的两个目的.
eval()函数
guoyaxu的专栏
03-05 719
     eval()函数        JavaScript有许多小窍门来使编程更加容易。    其中之一就是eval()函数,这个函数可以把一个字符串当作一个JavaScript表达式一样去执行它。    举个小例子:        var the_unevaled_answer = "2 + 3";    var the_evaled_answer = eval("2 + 3");    a
JavascriptEval函数的使用?
康林工作室
04-26 1719
 等你需要动态创建语句的时候,你将会发现它非常独特的作用,上网看了半天,找到些零散的内容,想来也算非常全面的了,全部把它收集起来放在这里以备后用,也供大家讨论学习使用。【eval()函数JavaScript有许多小窍门来使编程更加容易。其中之一就是eval()函数,这个函数可以把一个字符串当作一个JavaScript表达式一样去执行它。举个小例子:var the_unevaled
javaScript eval()函数用法
libinsoft的专栏
12-30 484
eval()函数        JavaScript有许多小窍门来使编程更加容易。    其中之一就是eval()函数,这个函数可以把一个字符串当作一个JavaScript表达式一样去执行它。    举个小例子:        var the_unevaled_answer = "2 + 3";    var the_evaled_answer = eval("2 +
JS中的eval函数
m0_50243859的博客
08-01 2979
1.eval() 函数作用:可以接受一个字符串str作为参数,并把这个参数作为脚本代码来执行。 (如果执行结果是一个值就返回,不是就返回undefined,如果参数不是一个字符串,则直接返回该参数) 2. 案例: eval(“var a=1”);//声明一个变量a并赋值1。 eval(“2+3”);//执行加运算,并返回运算值。 eval(“mytest()”);//执行mytest()函数eval("{b:2}");//声明一个对象。如果想返回此对象,则需要在对象外面再嵌套一层小括如下:eval
Javascript中的eval函数
Acmey的专栏
06-02 2214
js中的eval方法详解(一)–eval方法的初级应用
热门推荐
小阳的博客
08-23 2万+
在我看来,js中的eval()方法就是一个js语言的执行器,它能把其中的参数按照JavaScript语法进行解析并执行。语法:eval(s); eval()方法中的参数s有多种情况。参数的不同形式,会使eval()方法执行的结果和返回值有差别。下面来说说他们的区别。
Javascripteval()函数的使用方法与示例
MOONCOM的博客
05-19 4402
JavaScript有许多小窍门来使编程更加容易。其中之一就是eval()函数,这个函数可以把一个字符串当作一个JavaScript表达式一样去执行它。 定义和用法 eval() 函数可计算某个字符串,并执行其中的的 JavaScript 代码。 语法 eval(string) 参数 描述 string 必需。要计算的字符串,其中含有要计算的 JavaScript 表达式或要执行的
JavaScript函数eval的详细讲解
weixin_42279822的博客
10-12 329
是一个JavaScript函数,它用于将包含 JavaScript 表达式的字符串作为参数,并执行这些表达式。它可以用于动态地执行代码,但它也可能导致安全性问题和代码可读性问题,因此在使用时需要小心谨慎。是一个功能强大但潜在危险JavaScript函数,应谨慎使用,尤其是在处理不受信任的数据或用户输入时。一般情况下,最好避免使用它,除非没有其他合适的替代方法。函数的主要功能是将字符串中的 JavaScript 代码解释并执行。例如,使用函数或条件语句来执行动态逻辑,而不是执行动态生成的代码字符串。
JavaScript eval() 函数
万伏小太阳
05-28 1891
JavaScript eval() 函数 当后端传送的数据本应该是一个数组的时候,后端采用字符串的方式传送过来,我们可以调用eval方法。 接下来介绍一下eval函数eval() 函数会将传入的字符串当做 JavaScript 代码进行执行。 例如: console.log(eval('2 + 2')); // expected output: 4 console.log(eval(new String('2 + 2'))); // expected output: 2 + 2 console.lo
js中eval函数
weixin_30484247的博客
01-06 215
转载于:https://www.cnblogs.com/hwgok/p/10230205.html
js eval函数读取json
05-02
可以使用eval函数读取JSON数据,但是这种方式不够安全,因为它允许执行任意的JavaScript代码。更好的做法是使用JSON.parse()函数来解析JSON数据,这种方式更安全且更可靠。 下面是使用eval函数读取JSON的示例代码: ```javascript var jsonString = '{"name": "John", "age": 30, "city": "New York"}'; var jsonData = eval('(' + jsonString + ')'); ``` 在这个例子中,我们首先定义了一个包含JSON字符串的变量jsonString。然后使用eval函数将它转换成JavaScript对象。注意,我们在eval函数的参数中使用了圆括号,这是为了避免语法错误。 更好的做法是使用JSON.parse()函数,示例代码如下: ```javascript var jsonString = '{"name": "John", "age": 30, "city": "New York"}'; var jsonData = JSON.parse(jsonString); ``` 在这个例子中,我们使用JSON.parse()函数将JSON字符串转换成JavaScript对象。这种方式更安全,因为它只解析JSON数据,而不允许执行任意的JavaScript代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值