Ja, ich geb euch recht!

»» Ja, SQL direkt als PHP-Code zu interpretieren ist schon eine Sicherheitslücke; aber ich glaube es ist eine schnelle und einfache Methode die gewünschte Funktionalität zu erhalten.
»» Das wäre auf jeden Fall meine Idee gewesen. Wie kann man das denn umsetzen?

es ist evil.

:) ja stimmt,

Aufwendiger? Viel einfacher, viel sicherer! Warum willst Du Dich auf die unsichere Seite begeben?

ich habs mir auch grad überlegt, selbst wenn nicht viele Leute auf die Datenbank Zugriff haben wäre es noch immer "evil".

Deshalb wende ich mich wieder von der dunklen Seite von php ab und habe die Lösung mit dem Ersetzen gewählt.

$replaceArray ist mein Array mit den Ersetzungesvariablen

  
while($result = mysql_fetch_assoc(getTextbyWeb($web))) {  
  
$ausgabe = str_replace(array_keys($replaceArray), array_values($replaceArray),$result[textfield]);  
  
echo $ausgabe;  

Den Codeschnippsl lasse ich jetzt durch das SQL Array laufen mit der while Schleife. Fällt euch vielleicht eine bessere/elegantere Umsetzung ein?