hi,

Dann ist eval, wie zu erwarten war, die falsche Funktion für deinen Ansatz.

Was bleibt dann noch, wenn du dein Template-Skript, welches sich verhalten soll, als wäre es komplett isoliert ausgeführt, ausführen willst?

Tja, disable_functions und disable_classes sind leider nur in der php.ini kofigurierbar - sonst hätte man die auch vor einem evil eval setzen können ...

Einen Zugriff auf bestehende Objektinstanzen und Variablen könnte man ja evtl. noch hinbekommen, in dem man das Ganze in einen Funktionskontext bringt - Zugriff per Schlüsselwort global oder über $GLOBALS müsste man dann noch unterbinden, in dem man ggf. nach diesen Schlüsselworten im auszuführenden Code sucht ...

Alles in allem finde ich diesen Ansatz aber auch wenig erfolgversprechend, bzw. zu löchrig, um sich darauf zu verlassen.

gruß,
wahsaga