Mahlzeit Tom,

Alles. Es führt Code aus, der sich u.U. aus variablen Teilen zusammensetzt und den keiner wirklich kontrollieren kann.

Das ist vollkommener Unsinn.

Nein. Nicht, wenn der auszuführende Code aus variablen Stückchen zusammengesetzt wird, die aus irgendwelchen Quellen stammen, die der Programmierer zum Zeitpunkt der Code-Erstellung nicht kennt oder kontrollieren kann.

eval() wird ja nicht von alleine tätig, genauso wenig wie ein include() oder require().

Sicher.

Es liegt einzig und alleine in der Verantwortung des Programmierers, ob das böse enden kann.

Sicher. Aber da viel zu oft viel zu verantwortungslos mit eval() und seinen Brüdern und Schwestern umgegangen wird, ist es absolut legitim, gerade noch nicht so erfahrenen Menschen vom Umgang damit kategorisch abzuraten bzw. zu empfehlen, einen Weg zu suchen, bei dem man eval() NICHT benötigt - dieser ist im Regelfall deutlich sicherer und vernünftiger als die Benutzung von eval().

MfG,
EKKi