Puedes usar eval, esto te llevaría que cualquiera pueda inyectar código.

Otra forma sería hacer tu propia calculadora polaca. Usando http://es.wikipedia.org/wiki/Algoritmo_shunting_yard para evualuar las expresiones que introduzcan, he incluso puedes definir tus propias funciones e incluso el orden de evaluación.

En cualquier caso, tienes que validar que lo que te introduzca sea correcto o de lo contrarío te lanzara un error de sintaxis.

Suerte con eso.