Yo comparto lo dicho por Panino5001. El problema de eval no es tanto el riesgo de inyección de código sino:
a. El rendimiento
b. Siempre (por lo menos el 99.9% de las veces) hay otro modo de hacerlo que no necesita usar eval.


Ahora yo pregunto... ¿cuántos huyen del uso de eval pero siguen usando el constructor Function y pasando cadenas a setTimeout/setInterval?