JavaScript中的eval函數，常常被稱作“萬能函數”，因為它可以接收并執行任何符合JavaScript語言規范的表達式，并返回表達式的結果。eval函數不僅在JavaScript腳本中經常使用，而且在一些web開發中要求動態執行JavaScript代碼時也會用到。但是，eval函數存在許多安全問題，使用不當會導致代碼注入等問題。

舉例來說，假如我們有一個字符串變量，里面存儲著一段帶有變量聲明和賦值的JavaScript代碼：

var stringCode = "var a = 5; var b = 10; var sum = a + b;";

現在，我們可以用eval函數來執行這段代碼，并打印出sum的值：

eval(stringCode);
console.log(sum); // output: 15

在上面的例子中，eval函數把stringCode中的代碼當做JavaScript腳本執行，并將變量a、b的值相加賦值給sum，最后通過console打印出變量sum的值。

除了執行字符串變量中的代碼之外，eval函數還可以接收任何符合JavaScript語言規范的表達式，包括函數、對象等。比如：

var fn = eval("function add(a, b) { return a + b; }");
console.log(fn(3, 5)); // output: 8

上述代碼中，我們將一段函數定義的字符串作為參數傳給eval函數，eval會把這個字符串當作函數定義并執行（本例中并沒有直接調用這個函數）。然后，我們將執行結果賦值給變量fn，并通過fn(3, 5)來調用這個函數，輸出8。

需要注意的是，使用eval函數會帶來一些安全問題，特別是在代碼來自于非受信任的第三方。假設，我們有一個請求參數variable，它的值并不能保證是我們期望的JavaScript代碼，或者它的值并不是合法的JavaScript代碼，那么我們就不能簡單地通過eval函數來執行這個參數：

var variable = "var a = 5; var b = 10; var result = a * b; alert('乘法結果：' + result);";
eval(variable); // 調用alert函數，彈出提示框

上面的代碼傳入的variable參數可能會被人從外部惡意篡改，比如把alert('乘法結果：' + result)替換成惡意代碼。這就可能導致代碼注入等問題，造成安全隱患。為了防止這種情況，在處理動態代碼時，我們需要對代碼的來源進行校驗，并且限制使用eval函數的場景。

總之，雖然eval函數在某些場景確實很靈活方便，但是它也存在很多潛在的安全問題，我們需要根據實際情況，謹慎使用eval函數，并盡量避免向它傳入不受信任的動態代碼。