为什么到底是邪恶？

我知道Lisp和Scheme程序员通常会说eval除非绝对必要，否则应避免这样做。对于几种编程语言，我已经看到了相同的建议，但是尚未看到反对使用的明确参数列表eval。在哪里可以找到有关使用潜在问题的说明eval？

例如，我知道GOTO过程编程中的问题（使程序难以阅读且难以维护，很难找到安全性问题，等等），但是我从未见过反对的论点eval。

有趣的是，相同的论点GOTO应该对延续有效，但我看到例如Schemers不会说延续是“邪恶的”-使用它们时应该小心。与eval使用延续的代码相比，他们更不喜欢使用代码（据我所知-我可能是错的）。

人们不应该使用的原因有很多EVAL。

初学者的主要原因是：您不需要它。

示例（假设Common Lisp）：

用不同的运算符评估表达式：

(let ((ops '(+ *)))
  (dolist (op ops)
    (print (eval (list op 1 2 3)))))

最好这样写：

(let ((ops '(+ *)))
  (dolist (op ops)
    (print (funcall op 1 2 3))))

在很多例子中，初学者学习Lisp认为他们需要EVAL，但他们不需要-因为表达式是求值的，而且人们也可以求值函数的一部分。大多数情况下，使用EVALshow表示对评估人员缺乏了解。

宏也是同样的问题。初学者通常会在其中编写函数的地方编写宏-不了解宏的真正用途并且不了解函数已经完成了工作。

它通常是该工作使用的错误工具，EVAL并且通常表明初学者不了解通常的Lisp评估规则。

如果您认为需要EVAL，请检查是否有类似的东西FUNCALL，REDUCE或者APPLY可以代替使用。

• FUNCALL -使用参数调用函数： (funcall '+ 1 2 3)
• REDUCE -在值列表上调用函数并合并结果： (reduce '+ '(1 2 3))
• APPLY-调用以列表为参数的函数：(apply '+ '(1 2 3))。

问：我真的需要评估吗，还是编译器/评估器已经是我真正想要的？

避免EVAL使用高级用户的主要原因：

• 您想确保代码已编译，因为编译器可以检查代码中的许多问题并生成更快的代码，有时可以更快，更快速（这是因子1000 ;-））。

• 构造并需要评估的代码无法尽早编译。

• 评估任意用户输入会带来安全问题

• 评估的某些使用EVAL可能会在错误的时间发生并造成构建问题

用简化的示例解释最后一点：

(defmacro foo (a b)
  (list (if (eql a 3) 'sin 'cos) b))

因此，我可能想编写一个基于第一个参数使用SIN或的宏COS。

(foo 3 4)做(sin 4)和(foo 1 4)做(cos 4)。

现在我们可能有：

(foo (+ 2 1) 4)

这不会产生期望的结果。

然后可能要FOO通过EVALuating变量来修复宏：

(defmacro foo (a b)
  (list (if (eql (eval a) 3) 'sin 'cos) b))

(foo (+ 2 1) 4)

但这仍然不起作用：

(defun bar (a b)
  (foo a b))

只是在编译时不知道变量的值。

要避免的一般重要原因EVAL：它通常用于丑陋的骇客。

eval（用任何语言）都不是邪恶的，就像电锯不是邪恶的一样。这是一个工具。它碰巧是一个功能强大的工具，一旦被滥用，它就可以切断肢体并使其内脏（隐喻地讲），但是对于程序员工具箱中的许多工具，可以说是相同的，包括：

• goto 和朋友
• 基于锁的线程
• 延续
• 宏（hygenic或其他）
• 指针
• 可重启异常
• 自修改代码
• ...以及成千上万的演员

如果您发现自己必须使用任何这些功能强大，潜在危险的工具，请问自己三遍“为什么？” 一连串。例如：

“为什么我必须使用eval？” “因为foo。” “为什么foo是必需的？” “因为……”

如果您到达该链的末端，并且该工具仍然看起来像是正确的事情，那就去做。记录下地狱。从中测试地狱。一遍又一遍地仔细检查正确性和安全性。但是做吧。

只要您确切知道它将要发生什么，就可以使用Eval 。任何输入到其中的用户输入都必须经过检查和验证。如果您不知道如何百分百确定，那就不要这样做。

基本上，用户可以输入所讨论语言的任何代码，并且它将执行。您可以自己想象他会造成多大的伤害。

“我应该何时使用eval？” 可能是一个更好的问题。

简短的答案是“当您的程序打算在运行时编写另一个程序，然后运行它时”。遗传程序设计就是这种情况的一个示例，在这种情况下，使用它可能很有意义eval。

IMO，这个问题不是LISP特有的。这是针对PHP的同一问题的答案，它适用于LISP，Ruby和其他具有eval的语言：

eval（）的主要问题是：

• 潜在的不安全输入。传递不受信任的参数是一种失败的方法。确保参数（或其一部分）被完全信任通常不是一件容易的事。
• 棘手。使用eval（）使代码更聪明，因此更难遵循。用布莱恩·科尼根（Brian Kernighan）的话说：“ 调试是一开始编写代码的两倍。因此，如果您尽可能聪明地编写代码，就定义而言，您不够聪明，无法调试它 ”

实际使用eval（）的主要问题只有一个：

• 没有经验的开发人员在没有足够考虑的情况下使用它。

从这里取。

我认为这很棘手。对代码高尔夫和简洁代码的痴迷总是导致“聪明”代码（对于评估来说，评估代码是一个很好的工具）。但是，您应该编写代码以提高可读性，IMO，而不是为了证明自己很聪明并且不节省纸张（无论如何也不会打印出来）。

然后在LISP中，存在一个与运行eval的上下文有关的问题，因此不受信任的代码可以访问更多内容；无论如何，这个问题似乎很普遍。

有很多不错的答案，但这是Racket的实现者之一Matthew Flatt的另一种说法：

http://blog.racket-lang.org/2011/10/on-eval-in-dynamic-languages-generally.html

他提出了许多已经涵盖的要点，但是仍然有些人可能会发现他的观点很有趣。

简介：使用它的上下文会影响eval的结果，但程序员通常不会考虑它，从而导致意外结果。

规范的答案是远离。我发现这很奇怪，因为它是一个原语，并且在七个原语（其他分别是cons，car，cdr，if，eq和quote）中，它得到的使用和喜爱最少。

From On Lisp：“通常，明确地打电话给eval就像在机场礼品店里买东西。等到最后一刻，您必须为有限的二流商品选择付出高昂的代价。”

那么我什么时候使用eval？一种正常的用法是通过评估将REPL包含在REPL中(loop (print (eval (read))))。每个人都很好用。

但是，您还可以根据宏定义函数，这些宏将在编译后通过将eval与反引号结合使用来评估。你走

(eval `(macro ,arg0 ,arg1 ,arg2))))

它将为您杀死上下文。

Swank（用于emacs粘液）充满了这些情况。他们看起来像这样：

(defun toggle-trace-aux (fspec &rest args)
  (cond ((member fspec (eval '(trace)) :test #'equal)
         (eval `(untrace ,fspec))
         (format nil "~S is now untraced." fspec))
        (t
         (eval `(trace ,@(if args `(:encapsulate nil) (list)) ,fspec ,@args))
         (format nil "~S is now traced." fspec))))

我认为这不是肮脏的骇客。我一直在使用它来将宏重新集成到函数中。

关于Lisp eval的另外几点：

• 它在全球环境下进行评估，从而失去了本地环境。
• 有时，当您确实打算使用读取宏“＃”时，您可能会想使用eval。在读取时进行评估。

就像GOTO的“规则”一样：如果您不知道自己在做什么，就可能会一团糟。

除了仅从已知且安全的数据中构建内容外，还有一些语言/实现无法充分优化代码的问题。您最终可能会在其中包含解释后的代码eval。

评估只是不安全的。例如，您有以下代码：

eval('
hello('.$_GET['user'].');
');

现在，用户进入您的网站并输入url http://example.com/file.php?user=）; $ is_admin = true; echo（

那么结果代码将是：

hello();$is_admin=true;echo();

评估不是邪恶的。评估并不复杂。它是一个编译传递给它的列表的函数。在大多数其他语言中，编译任意代码将意味着学习该语言的AST，并在编译器内部进行深入研究以找出编译器API。简而言之，您只需调用eval。

什么时候应该使用它？每当您需要编译某些东西时，通常是一个在运行时接受，生成或修改任意代码的程序。

您什么时候不应该使用它？所有其他情况。

为什么在不需要时不使用它？因为您将以不必要的复杂方式进行操作，这可能会导致可读性，性能和调试问题。

是的，但是如果我是初学者，我如何知道是否应该使用它？始终尝试通过功能来实现所需的功能。如果这样不起作用，请添加宏。如果仍然无法解决问题，请评估！

遵循这些规则，您将永远不会用eval做恶:)

我非常喜欢Zak的答案，他已经明白了本质：在编写新语言，脚本或语言修改时使用eval。他没有真正进一步解释，所以我举一个例子：

(eval (read-line))

在这个简单的Lisp程序中，提示用户输入，然后评估他们输入的内容。为此，如果编译了程序，则必须存在整个符号定义集，因为您不知道用户可能输入哪些功能，因此必须将它们全部包括在内。这意味着，如果您编译此简单程序，则生成的二进制文件将是巨大的。

原则上，由于这个原因，您甚至不能将其视为可编译的语句。通常，一旦使用eval，您将在解释环境中进行操作，并且代码将无法再编译。如果不使用eval，则可以像C程序一样编译Lisp或Scheme程序。因此，在确定使用eval之前，您需要确保自己想要并需要处于解释环境中。