# Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') (CWE-95)

The product receives input from an upstream component, but it does not neutralize code syntax before using the input in a dynamic evaluation call.

- Prevalence: उच्च कोई Shoulder नियम नहीं
- Impact: उच्च OWASP Top 10 #3
- Prevention: MITRE देखें बाहरी संदर्भ

**OWASP:** Injection (A03:2021-Injection) - #3

## Description

When user input is passed to eval() or similar functions without sanitization, attackers can inject arbitrary code that will be executed with the application's privileges.

## Prevention

## Consequences

- अनधिकृत कोड निष्पादित करना
- एप्लिकेशन डेटा पढ़ना
- एप्लिकेशन डेटा संशोधित करना

## Mitigations

- eval() और इसी तरह के डायनेमिक कोड निष्पादन फ़ंक्शनों का उपयोग करने से बचें
- डेटा पार्सिंग के लिए JSON.parse() जैसे सुरक्षित विकल्पों का उपयोग करें
- यदि eval आवश्यक है, तो सख्त इनपुट सत्यापन और sandboxing का उपयोग करें