Hola david:
Utilizar eval() con datos sin validar(como pueden ser los qu evienen por $_GET o $_POST) es peligroso. Quiza te sirva mirar un poquito esta entrada, sobre todo sus comentarios:
http://www.buayacorp.com/archivos/xss-o-sql-injection/
Tambien podrias usar
extract(), pero igual que en lo de mas arriba, no lo veo jeje. Bueno ya veras, suerte.
Saludos.