Wenn Du eval() verwendest, dann bedenke, dass der User auch schräge Dinge eingeben kann, die Dinge auslösen, die Du nicht willst. Du solltest als Mindestprüfung eine Regex drüberlaufen lassen, die nur Ziffern, das Dezimalkomma, die mathematischen Operatoren und Klammern akzeptiert. Sonst scriptet Dir da nachher jemand was 'rein. Kann sein, dass es bei Dir unkritisch ist, aber zumindest solltest Du kurz drüber nachgedacht haben und zum Ergebnis gekommen sein, ob eine Script-Injektion bei Dir Schaden anrichten kann oder nicht. Bei der Antwortsuche solltest Du von "Ja, kann" ausgehen und nur nach reiflicher Überlegung zu "Nein, kann nicht" übergehen.
Rolf