# Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') (CWE-95)

The product receives input from an upstream component, but it does not neutralize code syntax before using the input in a dynamic evaluation call.

- Prevalence: Élevée Aucune règle Shoulder
- Impact: Élevé OWASP Top 10 #3
- Prevention: Voir MITRE Référence externe

**OWASP:** Injection (A03:2021-Injection) - #3

## Description

When user input is passed to eval() or similar functions without sanitization, attackers can inject arbitrary code that will be executed with the application's privileges.

## Prevention

## Consequences

- Exécuter du code non autorisé
- Lecture des données de l'application
- Modification des données de l'application

## Mitigations

- Évitez d'utiliser eval() et les fonctions similaires d'exécution dynamique de code
- Utilisez des alternatives plus sûres comme JSON.parse() pour le parsing de données
- Si eval est nécessaire, utilisez une validation stricte des entrées et un sandboxing