Te aconsejo los siguientes puntos

1.- Para evitar XSS, trate de codificar a entedidades html (utilizando htmlentities por ejemplo) todas las variables que vas a imprimir en tu vista o utilizar algún sistema de emplantillado como flexy
2.- Para evitar inyecciones SQL, te recomiendo desactivar magic quotes y siempre escarpar las comillas simples según el motor de db (en postgresql,mysql,etc. puedes utilizar un \ para escarpar una comilla ', en sql server, firebird,etc .. utiliza una comilla para escarpar una comilla
3.- Simplemente no uses eval, ya que existe un alto riesgo de que te inyecten cualquier código php, inclusive si son capaces de inyectar comillas inversas a un eval, ya son capaces de ejecutar comandos en el servdir (Execution Operators)

Saludos.