Bon il a quand même l'air bien suspect même sans caractères invisibles le code ; la combinaison de "string construite dynamiquement + eval" ça a peu de chances de tromper même le plus naze des validateurs statiques