Hola david:

Utilizar eval() con datos sin validar(como pueden ser los qu evienen por $_GET o $_POST) es peligroso. Quiza te sirva mirar un poquito esta entrada, sobre todo sus comentarios:

http://www.buayacorp.com/archivos/xss-o-sql-injection/


Tambien podrias usar extract(), pero igual que en lo de mas arriba, no lo veo jeje. Bueno ya veras, suerte.


Saludos.