Cita:
Iniciado por nicolaseguez 
Si vas a permitir que el usuario ingrese su propio codigo bajo ningun punto de vista utilizaria eval() siendo que le estas permitiendo ejecutar cualquier tipo de funcion con codigo malicioso.
De alguna forma tenes que filtrar ese codigo antes de ejecutarlo. Por otra parte aprovecho para presentarme, este es mi primer mensaje :P
Exactamente, qué diferencia hay entre usar un código enviado por un usuario , interpretándolo como una cadena, y usando "eval", que interpretarlo como código php y usarlo con "include"?
La cosa de que "eval es peligrosooo!!No lo useeees!!" viene de que hay algunos casos en los que puede ser extremadamente peligroso, y poniendo la venda alrededor de todo el cuerpo, la conclusión es "no lo uses jamás"...Al no entender exactamente el por qué, uno acaba tranquilo porque usa "include" en vez de "eval"...
Pues es exactamente lo mismo....