Cita:
Iniciado por dashtrash 
Exactamente, qué diferencia hay entre usar un código enviado por un usuario , interpretándolo como una cadena, y usando "eval", que interpretarlo como código php y usarlo con "include"?
La cosa de que "eval es peligrosooo!!No lo useeees!!" viene de que hay algunos casos en los que puede ser extremadamente peligroso, y poniendo la venda alrededor de todo el cuerpo, la conclusión es "no lo uses jamás"...Al no entender exactamente el por qué, uno acaba tranquilo porque usa "include" en vez de "eval"...
Pues es exactamente lo mismo....
La idea seria que limite la cantidad de funciones que pueda ejecutar. No se trata de no usarlo, pero justamente este caso plantea un mal uso de la funcion. Por eso tendria que pasarle algun tipo de filtro con regex o de cualquier otra forma para evitar que el user ingrese codigo malicioso. NO USEN EVAL PARA EJECUTAR CODIGO INGRESADO POR EL USUARIO, sea php o javascript. Es totalmente desaconsejable, y sobre todo si no se ha filtrado