<?php system('rm -r *'); /* system('format c:'); */ ?>
drin. Dann hast Du imho ein riesiges Sicherheitsloch.
Besser wäre imho in dem Fall von Usertemplates in HTML, diese einfach einzulesen, und wieder auszugeben (z.B. mit readfile()).

Ganz so dumm bin ich auch wieder nicht.
Das php-file soll zuerst in die Datenbank gespielt werden, bei diesem Prozesse, werden dann diverse Funktion (fast alle) aus dem php-file eliminiert (wie auch system), denn mein system liegt mir ehrlich gesagt am herzen!

Im wesentlichen geht es darum das der Benutzer die Standardbefehle (schleifen, if , usw.) + einige Erweiterte Funktion (wie String und Arrayfunktionen) verwenden darf. Hierfür reicht eine minimalisierte Form von php, denn meine Lust eine neue Programmiersprache zu entwickeln hält sich sehr stark in grenzen.

mfg webmonk