Tach!

Ein Benutzer gibt den Namen eines Moduls ein was kompiliert werden soll!? Sowas möchten wir doch nicht wirklich oder?

Man kann die erlaubten Kandidaten mittels Whitelist oder anhand ihrer Merkmale (Namensbestandteil, Abstammung von einer Basisklasse, Implementation eines bestimmten Interfaces) einschränken.

Zumal es tausend andere Möglichkeiten gibt, Interna interna sein zu lassen. Du hast eine Klassenbindung aber warum diese über HTTP abwickeln? Der Benutzer gibt eine andere Klasse vor und schon macht Deine Anwendung was ganz anderes, auf jeden Fall nicht mehr das was sie soll!

Macht sie nicht, siehe oben.

Besser ist es, die Klasse per Konfiguration an den URL zu binden das kann ein Benutzer nicht ändern, weil die Konfiguration serverseitig vorliegt.

Das ist nicht besser oder schlechter. Routing per Konfiguration statt per Konvention ist lediglich eine andere Vorgehensweise. Der Nutzer kann bei beiden Varianten nichts anderes als erlaubt ist.

dedlfix.