В чем сходство Function и Eval?

0

1

У крокфорда в good parts есть утверждение, что Function — это, почти то же самое что eval. Я копаюсь уже битый час, и не могу понять вообще, что у них общего. Насколько я понял, Function сразу компилируется в обычную анонимную ф-цию. И в дальнейшем, она ведет себя как обычная ф-ция, даже с сохранением лексического скопа в замыканиях.

fu=Function("var a=1; return function(){return(a)}")
console.log(""+fu)
//
//out:
//function anonymous() {
//var a=1; return function(){return (a)}
//}

inner_fu=fu()
console.log(inner_fu())
//out:
//1

Что же общего нашел крокфорд между ними? Покажите пример эквивалентного поведения, пожалуйста.

Ссылка

←	Как в git получить shortlog между коммитами?

Презентация «Rust - лучше, чем C++» на русском языке от разработчика из Яндекса

→

← 1 2 →

Ответ на: комментарий от anonimous 06.07.14 20:23:47 MSK

Правильно, я говорю, что юзер-инпут напрямую эвалить не надо

Я же говорю - если евала нет (а евала нет, если тебе не надо евалить юзер_инпут), то и уязвимости нет.

На этом все проблемы с эвалом заканчиваются.

Да, на использовании евала - проблемы с евалом заканчиваются. Я это сказал в самом начале, хватит повторяться.

anonymous
(06.07.14 20:29:51 MSK)

Ответ на: комментарий от anonymous 06.07.14 20:29:51 MSK

Нет, я имел в виду, что эвал не нужно использовать в работе со строками пришедщими на сервер. В остльных случаях его использование на безопасность никак не влияет.

на использовании евала - проблемы с евалом заканчиваются.

т.е. не использовании вообще, а использовании в конкретных юзкейсах.

~~anonimous~~ ☆
(06.07.14 20:33:58 MSK) автор топика

Ответ на: комментарий от anonimous 06.07.14 20:33:58 MSK

Нет, я имел в виду, что эвал не нужно использовать в работе со строками пришедщими на сервер.

А в других случаях его тем более не нужно использовать. Тем более что тебе никто не гарантирует, что какая-нибудь ф-я, в которую ты передал пользовательский ввод, не делает евала в своих кишках.

anonymous
(06.07.14 20:49:51 MSK)

Ссылка

Ответ на: комментарий от anonimous 06.07.14 20:33:58 MSK

Эвал non-tainted строк нахер не нужен, т.к. вырождается в обычный код, где методом подстановки является лексическое связывание. Он необходим лишь для загрузки модулей из trusted environment, потому что получить рантайм из текста в файле можно, внезапно, только так. Остальные его применения, как я уже писал — признак макаки за клавиатурой. Это понимает любой seasoned developer, до чего тебе очень далеко. А секрет прост — надо писать докуя кода вместо докуя сниппетов, и такие вопросы сами отпадут.

~~arturpub~~ ★★
(06.07.14 21:03:08 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Как в git получить shortlog между коммитами?

Development

Презентация «Rust - лучше, чем C++» на русском языке от разработчика из Яндекса

→

Похожие темы