Eval tiene el problema de ejecutar el código que le mandes, por lo cual yo podría cambiarle el valor a una variable por código y entonces eso se convierte en un problema de seguridad.

Cambiar el valor de una variable desde la consola de firefox.

Mientras que a ti lo que te interesa es hacer algo como something.value = parseFloat(something.value) + parseFloat(precio)

Donde si alguien pasa código a parseFloat no tendrás problemas de seguridad.

En resumen, nunca uses eval a menos de que puedas garantizar que lo que va a entrar a la función sea controlado por ti.