Nu, tad arī manas pārdomas par šo tēmu (in no particular order ;) ):
* Drošību nevar piekodēt kaut kad pēc tam. Pēc tam var tikai lāpīt caurumus. Ja drošības prasības izvirza jau sākumā, tad pēc tam ir daudz vieglāka dzīve.
* Principā neatkarīgi no glabāšanas vides vislabāk ir, ja dati un izpildāmais kods glabājas nodalīti, tātad šajā gadījumā dažādās datubāzēs kurām ir pieejas tiesības atšķirīgiem lietotājiem
* eval izmantošana pieprasa server-side-code-injection nepieļaušanas funkcionalitātes izstrādi. Pie kam tādā apjomā, kas ir par vairākām kārtām lielāks par failu gadījumu.
* Ar failiem parasti dara tā, ka izpildāmie faili (php) tiek likti ar read-only tiesībām web-lietotājam, pie kam bez iespējas piekļūstot caur web pārslēgties uz citu lietotāju. DB gadījumā, faktiski var uzskatīt, ka izpildāmais kods web lietotājam ir read-write režīmā, bet write funkcionalitātes ierobežošana paliek kodētāja rokās
* atgriežoties pie eval izmantošanas... Ir samērā daudz kvalitatīvu gatavu bibliotēku, kas ierobežo SQL injekcijas, XSS injekcijas, taču daudz mazāk (patiesībā nezinu nevienu, taču pieļauju, ka ir), kas novērš php injekcijas
Resume: Darīt tā var, taču tas būs sarežģīti. Tādēļ jāskatās, kāds šādai pieejai ir pamatojums.