Cita: ... no creo... . Si no miento, para que eval() funcione (no tengo mucha experiencia con la función) se le necesita pasar "PHP puro"... valdría si le pasaras --por ejemplo-- simplemente echo "algo";, pero si le metes etiquetas PHP (<?php echo "algo"; ?>) ya no lo interpetaría bien... ¿no es así Clus?. Luego métele HTML y demás...
No soy usuario habitual de "eval()" .. Habría que probarlo. El caso es que si esa función "funciona" para el próposito general .. te evitas crear un archivo (aunque sólo sea uno por qué lo sobre-escribes).
Los problemas de seguridad vendrán cuando alguien haga algo tipo:
<?
readfile("config.php");
?>
Es decir .. se puede "ver el código" de cualquier script que ronde en ese servidor .. Por eso es tan peligros (imagina el ejemplo .. un "config.php" donde dejes datos tipo contraseña de acceso a una BD o similar .. hay que tener cuidado).
Un saludo,