Ganz einfach: führe einfach nichts aus (weder durch eval(), noch durch include() o.ä.), das vom Benutzer eingegeben bzw. hochgeladen werden kann. Punkt. Fertig.

Siehe anderen Post von mir (Nachfrage dazu).

Von was für einer Datenbank sprichst bzw. schreibst Du?

Datenbanken in Form von txt-Files.

Vielen Dank an Dich