Чем заменить eval()?

[Виталий Желтяков]

Есть ajax-система. На запросы пользователя сервер отвечает js-кодом (например, alert("Бум!!"); ). На клиенте ответ прогоняется через eval() и команда выполняется.
Profit...

Но многие говорят, что это не безопасно, хотя внятно не могут объяснить почему (?). Говорят, что eval() медленная команда. Возникает вопрос:

- Чем заменить eval()?

Закинул вопрос на Хабр и получил около десятка бредовых ответов (что и следовало ожидать) и один требующий проверки. А как думают знатоки этого форума?

[verygood]

В некоторых случаях можно использовать window[], мне удавалось.

[8oOoRPM]

Я думаю что логику которая подвластна JS не нужно заменять PHP, может просто все нужные параметры передавать (в массиве например, json-ом очень легко манипулировать)...

[Gorychev]

Поддерживаю 8oOoRPM. С сервера данные приходят, например, в json формате, а в js скрипте с ними творишь, что хочешь. Если указать тип возвращаемых данных, тот же json, то eval не нужен

[Виталий Желтяков]

А как поступать с управляющими командами? (см. 1 сообщение)

[8oOoRPM]

А управляющие комманды это alert("bum") ? )))
Нужно реализовывать бэкэнд и фронтенд правельно, потому как eval() это не совсем то что хочется увидеть... Если нужно будет добавить какойнить параметр новый, то придётся переколбасить и серверную часть и клиентскую... это просто не практично...А eval() заменить не вижу возможным, во первых потому что разработчики сделали его достаточно быстрым... Советую поменять логику, ну или показать пример чтоб можно было увидеть(нам) что eval() действительно незаменим...

[Виталий Желтяков]

Допустим, у нас на клиенте есть две команды - function_a() и function_b(). Каждая из них принимает параметры и выполняет различные действия.
Я делал просто. С сервера отправляется на запрос пользователя ответ, например - "function_a('XXX'); fuction_b('ZZZ');". На клиенте полученный ответ прогонялся через eval() и всё было хорошо.

Но очень много людей говорят, что это не безопасно и медленно. Поэтому возникает вопрос как заменить?

[8oOoRPM]

вообще с безопасностью я не знаю что это имеет... медленно ? ДА!!! Как и любом другом языке в подобных функциях... а евал для этих функции и не нужен та... передаёте массив параметров с сервера, а клиент запускает функцию с переданными параметрами, евал сдесь не нужен совсем... смотрите, как вам удобнее...

[8oOoRPM]

И думаю что при маленьких объёмах данных разницы во времени будет назаметно в любом случае...

[Gorychev]

Вот сокращенная версия рабочего кода, без проверок и т.п.

Код:

fromId = 'addComment';
	$('#'+fromId).submit(function() {
		  var str = $("#"+fromId).serialize();	
		  $.post('/events.html, str, 
					function(reply){
						if(reply.success){
							alert(reply.msg);
                                                        // можно вызвать функцию, что угодно, с параметрами которые пришли с сервера
						}else{
							alert('Error!!!!');
						}
					},'json'
				);  		
});	
	..............
	 php
			обработка 
			if(условие == true){				
				переменные
				передаем
				$msg = 'Все получилось!!!!';
				echo json_encode(array('success' => true,'msg'=>$msg));
			}else{
					echo json_encode(array('success' => false));
				}	
			exit();

eval не нужен,