为什么eval被认为是“邪恶”的？

不应该使用EVAL的原因有几个。

对于初学者来说，主要原因是：你不需要它。

例如（假设是Common Lisp）：

使用不同操作符计算表达式：

(let ((ops '(+ *)))
  (dolist (op ops)
    (print (eval (list op 1 2 3)))))

这可以更好地书写为：

(let ((ops '(+ *)))
  (dolist (op ops)
    (print (funcall op 1 2 3))))

有很多学习Lisp的初学者认为需要使用EVAL，但实际上并不需要，因为表达式会被求值，函数部分也可以求值。大多数情况下使用EVAL表明缺乏对求值器的理解。
宏的情况也是相同的。初学者经常编写宏，而应该编写函数 - 不理解宏的真正用途并且不理解函数已经完成了工作。
通常使用EVAL是选错工具，并且通常表明初学者不理解通常的Lisp求值规则。
如果您认为需要EVAL，请检查是否可以使用FUNCALL，REDUCE或APPLY替代。
- FUNCALL - 使用参数调用函数：(funcall '+ 1 2 3) - REDUCE - 对一组值调用函数并组合结果：(reduce '+ '(1 2 3)) - APPLY - 以列表作为参数调用函数：(apply '+ '(1 2 3)) 问：我是否真的需要eval，编译器/求值器已经知道我想要什么了吗？
对于略微高级的用户而言，避免使用EVAL的主要原因有：
- 您希望确保代码已编译，因为编译器可以检查代码中的许多问题并生成更快的代码，有时是非常非常非常（这是1000倍的因数;-））快的代码。 - 构造并需要求值的代码可能无法尽早地编译。 - 任意用户输入的EVAL开启了安全问题 - 使用EVAL进行某些求值可能发生在错误的时间并创建构建问题。
以下是一个简化的例子来解释最后一点：

(defmacro foo (a b)
  (list (if (eql a 3) 'sin 'cos) b))

因此，我可能想编写一个宏，根据第一个参数使用 SIN 或 COS。

(foo 3 4) 执行 (sin 4)，而 (foo 1 4) 执行 (cos 4)。

现在我们可能有：

(foo (+ 2 1) 4)

这样做并不能得到期望的结果。

此时，您可能希望通过对变量进行EVAL操作来修复宏FOO：

(defmacro foo (a b)
  (list (if (eql (eval a) 3) 'sin 'cos) b))

(foo (+ 2 1) 4)

但是这仍然不起作用：

(defun bar (a b)
  (foo a b))

变量的值在编译时是未知的。

避免使用 EVAL 的一个普遍重要原因：它经常被用于丑陋的 hack。

eval（在任何语言中）并不像电锯那样是邪恶的。它是一个工具。它恰好是一个功能强大的工具，如果被错误使用，可能会割掉四肢和开膛破肚（比喻性地说），但同样适用于程序员工具箱中的许多工具，包括：

• goto 及其相关操作
• 基于锁的线程管理
• continuations（续体）
• 宏（卫生或其他）
• 指针
• 可重复异常
• 自修改代码
• ...还有更多。

如果你发现自己必须使用这些功能强大且潜在危险的工具，请在链式问题中反复自问三次“为什么？”。例如：

“为什么我必须使用eval？” “因为foo。” “为什么foo是必要的？” “因为......”

如果你在这个链式问题的结尾发现这个工具看起来确实是正确的选择，请使用它。做好文档工作。进行充分的测试。一遍又一遍地检查正确性和安全性。然后再去做。

EVAL可以使用，但必须准确知道要输入什么。任何进入EVAL的用户输入都必须进行检查和验证。如果不知道如何确保100%安全，请勿使用。

基本上，用户可以输入所涉及语言的任何代码，并将其执行。你可以自己想象他能造成多少破坏。

“何时应该使用eval？”可能是一个更好的问题。

简短的答案是“当你的程序旨在在运行时编写另一个程序，然后运行它时”。遗传编程是一个例子，这种情况下使用eval很有意义。

我认为，这个问题并不特定于LISP。以下是关于PHP的相同问题的答案，它同样适用于LISP、Ruby和其他支持eval函数的语言：

Eval() 的主要问题有：

• 可能存在不安全的输入。传递不受信任的参数是一种失败的方式。通常确保参数（或其中的一部分）完全可靠并不是一个简单的任务。
• 过于巧妙。使用eval()会使代码更加聪明，因此更难以跟踪。引用Brian Kernighan的话：“调试比写代码本身困难两倍。因此，如果您尽可能巧妙地编写代码，则根据定义，您不够聪明，无法调试它。”

实际使用eval()的主要问题仅有一个：

• 经验不足的开发人员没有充分考虑就使用它。

摘自这里。

我认为“过于巧妙”是一个很棒的观点。对于这个问题，代码高尔夫和简洁的代码总是会导致“聪明”的代码（对于这些，eval函数是一个很好的工具）。但在我看来，应该为可读性而编写代码，而不是展示你有多聪明，更不是为了“节约纸张”（你不会打印它的）。

此外，在LISP中，与eval相关的一些问题与其运行的上下文有关，因此不受信任的代码可能会获得更多的访问权限；然而，这个问题似乎很普遍。

规范的回答是远离eval。我认为这很奇怪，因为它是一个原语，与其他七个原语（其他原语为cons、car、cdr、if、eq和quote）相比，它在使用和喜爱方面远远落后。
来自《On Lisp》的一段话：“通常，显式地调用eval就像在机场礼品店购物。等到最后一刻，你不得不为有限的二流商品付出高昂的代价。”
那么我什么时候会使用eval呢？正常使用之一是通过评估(loop (print (eval (read))))在REPL中拥有一个REPL。每个人都能接受这种用法。
但是，您还可以使用反引号将宏与eval结合使用，以便在编译之后进行评估来定义函数。

(eval `(macro ,arg0 ,arg1 ,arg2))))

而它会为您杀死上下文。

Swank（用于emacs slime）充满了这些情况。它们看起来像这样：

(defun toggle-trace-aux (fspec &rest args)
  (cond ((member fspec (eval '(trace)) :test #'equal)
         (eval `(untrace ,fspec))
         (format nil "~S is now untraced." fspec))
        (t
         (eval `(trace ,@(if args `(:encapsulate nil) (list)) ,fspec ,@args))
         (format nil "~S is now traced." fspec))))

我不认为这是一种肮脏的黑客行为。我经常自己使用它来将宏重新整合到函数中。

已经有许多优秀的答案，但是这里还有Matthew Flatt的另一种看法，他是Racket的实现者之一:

http://blog.racket-lang.org/2011/10/on-eval-in-dynamic-languages-generally.html

他提出了许多已经涉及到的观点，但仍有些人可能会发现他的观点有趣。

简介：eval的使用环境会影响结果，但程序员通常没有考虑到这一点，导致意外的结果。

关于Lisp eval的另外两点：

• 它在全局环境下进行评估，会丢失你的本地上下文。
• 有时候你可能会想使用eval，但实际上你应该使用读取宏“#.”，它在读取时进行评估。

Eval函数不安全。例如，您有以下代码：

eval('
hello('.$_GET['user'].');
');

现在用户来到您的网站并输入URL：http://example.com/file.php?user=);$is_admin=true;echo(

那么生成的代码将是：

hello();$is_admin=true;echo();

就像GOTO“规则”一样：如果你不知道自己在做什么，可能会弄得一团糟。

除了只使用已知和安全的数据来构建某些东西之外，还存在这样一个问题，即某些语言/实现无法对代码进行足够的优化。你最终可能会在eval中得到解释性代码。