Eval против JSON.parse

Сразу скажу, использовал оба метода, переключился на JSON.parse пожалуй больше из соображений более быстрого написания кода на php (хотя и повлияла встреченная где-то фраза, что eval работает медленно).

Но сейчас решил разобраться из чисто теоретического интереса: почему плохо и плохо ли использование eval в таком применении:

В php формируется строка типа:
=>
js
По-моему понятно, что передается строка через аякс - js ее получает из надежного источника, выполняется код и формируется в данном случае массив.

0

Сообщение от 755 По-моему понятно, что передается строка через аякс - js ее получает из надежного источника, выполняется код и формируется в данном случае массив.

По коду непонятно что формируется массив, и в какую переменную кладется.. получается код размазывается.. Допустим вы где-то далее по коду увидели переменную m_el - откуда она взялась? Вы ее в коде не найдете.

В целом перемешивать бэк с фронтом плохая практика. Бэк отдает только данные, а что с ними делать - уже решает фронт, и тогда у фронта остается свобода действий

Вот так намного нагляднее. Сразу видно, получили данные - положили в переменную.

1

Сообщение от sad67man По коду непонятно что формируется массив, и в какую переменную кладется.. получается код размазывается.. Допустим вы где-то далее по коду увидели переменную m_el - откуда она взялась?

Все понятно и по коду. Просто указал основную цепочку формирования m_el.

Если подробнее:
Добавлено через 3 минуты
Основной вопрос, наверное, связан с безопасностью: может ли кто-то извне изменить xmlHttp.responseText на чужом компьютере, причем только в одном единственном конкретном месте ?

Добавлено через 2 минуты
Конечно и Ваш вариант sad67man, нагляден.
Но исходил из того: в php массивы надо закодировать, в js распарсить - выполняется две операции, а в моем варианте с eval только одна - выполняется сам код, который и формирует массив

0

Сообщение от 755 выполняется сам код, который и формирует массив

Вы нагружаете php лишней ответственностью, вы должны отдавать данные, а не куски js.. Все остальное даже не хочется обсуждать.. такой код будет просто больно поддерживать.

2

Неперешибаемое упрямство. И самое непонятное - а в чем смысл?
Вот хочу eval и буду! Назло ... себе.

Сообщение от 755 Все понятно и по коду. Просто указал основную цепочку формирования m_el.

Если все понятно, то объясняете нам непонятливым.

0

Сообщение от voraa Неперешибаемое упрямство. И самое непонятное - а в чем смысл?

Причем здесь упрямство? Ни спорю, ни доказываю - и даже не за eval (просто сейчас начал переделывать модули выпадающего списка , написанные давно и только для них массивы значений из справочников формировались через eval ) и стало интересно, точнее, подумал, м.б. стоит выяснить, действительно ли он плох и в моем случае? И даже, если окажется, что он безопасен, быстрей всего буду пользоваться обоими вариантами по настроению.
Основной аргумент против - безопасность. Знакомился, но вопрос для моего восприятия оказался сложным, поэтому отложил его на потом (возможно, причина в недостатке знаний, а не ...). Поэтому и интересно, могут ли злоумышленники на компьютере Пользователя во время его работы залезть в код и поменять значение результата xmlHttp.responseText ? Мне кажется это практически невозможным, а м.б. и просто невозможно? Но прав ли? Не знаю. Если да, то тогда получается, что в таком формате использования eval это уже не аргумент против.

Опять моя невнимательность - поторопился (извините) - надо было исправить в php. Конечно же в php формируется:
просто sad67man, как я понял, было непонятно с кодом и попытался его раскрыть поподробнее - думал, этого окажется достаточно.

0

Сообщение от 755 надо было исправить в php. Конечно же в php формируется:

Код js надо править в файлах js, а не в php.
Потом, ловя ошибку вы даже не увидите, что там у вас выполняется.

Сообщение от 755 Поэтому и интересно, могут ли злоумышленники на компьютере Пользователя во время его работы залезть в код и поменять значение результата xmlHttp.responseText ?

Вы можете быть спокойны. На вас злоумышленники внимания не обратят и ломать не будут.

Просто непонятно. Вы спрашиваете что то. Вам люди, у которых опыта и знаний побольше, отвечают, как сделать лучше и правильнее. Но

Сообщение от 755 быстрей всего буду пользоваться обоими вариантами по настроению.

Так зачем тогда спрашивать? Делайте все по настроению. Какое настроение, то и получится.

2

Сообщение от voraa быстрей всего буду пользоваться обоими вариантами по настроению. Так зачем тогда спрашивать?

• Написал: буду пользоваться обоими (возможно), если eval безопасен. Пока же так ответа и нет.

Сообщение от voraa Вы можете быть спокойны. На вас злоумышленники внимания не обратят и ломать не будут.

Поживем, увидим...

Сообщение от voraa Код js надо править в файлах js, а не в php. Потом, ловя ошибку вы даже не увидите, что там у вас выполняется.

Легко - речь о конкретном случае, когда знаешь, что на выходе.
Можно привести такой аргумент: m_el = JSON.parse() форм-ся в php, хотя данные для js. Не буду утрировать, что данные для js формируются в php. В моем же примере так же формируются данные для js в php, правильность которых (а соответственно и логику) легко проверю и в js, т.е. логика отладки примерно одинаковая.

0

Сообщение от 755 Но исходил из того: в php массивы надо закодировать, в js распарсить - выполняется две операции, а в моем варианте с eval только одна - выполняется сам код, который и формирует массив

json_encode нужно же делать в обоих случаях. Иначе как вы формируете массив для js?

0

Сообщение от sad67man json_encode нужно же делать в обоих случаях. Иначе как вы формируете массив для js?

Ошибаетесь.
В php формируется динамически строка выполняемого кода типа $st= 'm_el = ["знач. 1","знач. 2","знач. 3"];,' после чего через аякс данная строка $st передается в js, в котором после выполнения кода в eval.call(window, xmlHttp.responseText); формируются элементы массива. И все, данные переданы и сформированы. Попробуйте, просто выполните в php 2 две эти строки, и увидите - никакой json_encode не нужен.

0

755, вы совет пришли спрашивать или убеждать всех в своей правоте? Если второе, то оно нам тут даром не надо, тем более, если вы делаете какую-то ахинею.

0

Сообщение от gogolik 755, вы совет пришли спрашивать или убеждать всех в своей правоте?

gogolik, странно такое слышать, по-моему ни в одном из моих сообщений нет и намека на то, что кого-то убеждаю - после вопроса с моей стороны практически только ответы и то только потому, что считаю невежливым не ответить тем, кто тратит на меня свое время. И сейчас также отвечаю по этой же причине.
Да, задал вопрос и было бы и интересно услышать на него ответ.
Но вот ответа на вопрос так и не услышал, хотя он мог бы быть достаточно лаконичным: да / нет - почему, (например, нельзя - могут подменить данные).

Добавлено через 6 минут
Кстати, и применение eval для этих целей не мог сам придумать, а когда-то давно, когда только изучал способы передачи данных через аякс должен был увидеть данный вариант

0

Сообщение от 755 Да, задал вопрос и было бы и интересно услышать на него ответ.

Ответ: использовать `eval` очень плохо для обмена данными.

Во-первых, для этого есть JSON (можно и другие форматы)
Во-вторых, бэк не должен завязываться на то, кто и как будет обрабатывать ответ. Это может делать и не браузер, а мобильный клиент на Java
В-третьих, какая такая неприодолимая сила тебя гонит творить всякую ахинею и игнорировать учебники по языку, где принятые практики расписаны и разжёваны?

1

Спасибо, Usaga, за ответ.
И просто отвечая на вопрос:

Сообщение от Usaga какая такая неприодолимая сила тебя гонит творить всякую ахинею и игнорировать учебники по языку

на учебники пока нет времени - хочется побыстрее закончить и запустить проект. Потому м.б. будет время и на литературу.

по п.2.

Сообщение от Usaga Это может делать и не браузер, а мобильный клиент на Java

Возможно ошибаюсь. Но, как понимаю, пишу конкретно под браузер, под мобильную версию изменятся формы и соответственно технология.

0

Сообщение от 755 на учебники пока нет времени - хочется побыстрее закончить и запустить проект.

На изучение ПДД и вождение пока нет времени. Хочется на работу и на дачу на машине ездить.

1

Сообщение от 755 на учебники пока нет времени - хочется побыстрее закончить и запустить проект.

"Хочется" и "так это работает" - разные вещи. И я тебе скажу - оно так не работает. Ты на выдумывание ахинеи и борьбу с ней потратишь больше времени. Вплоть до того, что до результата дело и не дойдёт.

Сообщение от 755 Но, как понимаю, пишу конкретно под браузер, под мобильную версию изменятся формы и соответственно технология.

Так писать можно универсально, не завязываясь ни на что. И так и надо делать.

0

Сообщение от Usaga Так писать можно универсально, не завязываясь ни на что. И так и надо делать.

Это было бы хорошо, но думается не всегда возможно. Например, использую табличный формат, который под мобильную версию не подойдет. Поэтому уже универсально не получится: под мобильную версию нужно будет разработать другой, более оптимальный формат, а т.к. форма формируется на сервере, то и соответственно не получается универсально.

0

755, ты сам это только что придумал, да? Я тебе говорю факты, продиктованные опытом, не только моим, а ты придумываешь что-то чтобы просто поспорить?

Прекращай эту ерунду. Нормально делать возможно всегда. Если нет никакого желания перенимать опыт, учиться делать быстро и нормально, то да - не всегда возможно.

0

Благодарю, Usaga, лучше на этом закончить тему. Зря вообще ее создал - отнял чужое время да и свое чуть чуть жаль - потрачено без пользы.

0

Сообщение от 755 потрачено без пользы.

Т.е. ты и ответ прямой не воспринял... Уже не в первый раз. Зачем тогда спрашивать?..

0