Как я сделал это, чтобы иметь поле в базе данных, которое идентифицировало что-то уникальное в блоке кода, который необходимо выполнить. Это одно слово находится в имени файла этого кода. Я помещаю строки вместе, чтобы указать на файл php, который будет включен. Пример:
$lookFor = $row['page'];
include("resources/" . $lookFor . "Codebase.php");
Таким образом, даже если хакер может получить доступ к вам DB он не может поставить вредоносный код прямо туда, чтобы быть выполнены. Возможно, он мог бы изменить ссылочное слово, но если бы он не мог разместить файл прямо на сервере, это не принесло бы ему пользы. Если бы он мог помещать файлы прямо на сервер, вы все равно потопнули, если он действительно хочет быть противным. Только мои два цента стоят.
И да, есть причины, по которым вы хотите выполнить сохраненный код, но есть минусы.
Спасибо за этот вопрос. Вопреки многим «ответам» ниже, это хороший и полезный. Существует много применений LEGIT, где вы хотите хранить команды PHP в БД. Говорить «не делай этого», не зная обстоятельств, просто надменно. – 2013-03-27 02:34:03