2014-08-21T07:18:54 Raubtier

Es besteht außerdem noch die Gefahr, dass Variablen aus dem Programm, die nicht dafür gedacht sind, angezeigt zu werden, ausgegeben werden.

Wieso "Gefahr"? Wenn Du die falsche Variable angibst, bekommst Du halt einen String wie "HASH(0x...)" ausgegeben. Das ist wahrscheinlich nicht, was Du willst, aber eine Gefahr oder gar ein Sicherheitsrisiko sehe ich darin nicht.

2014-08-21T07:18:54 Raubtier

Neben meiner generellen Abneigung gegen eval($skalar) kommt noch dazu, dass man interessante Informationen doch oft gar nicht als lokale (als globale schon gar nicht!) "einfache" Variablen vorliegen hat, sondern oft befinden sich interessante Werte doch in Objekten, d.h. einzelne $var im String wären dann durch $object->method() zu ersetzen.

Das war nicht die Fragestellung.

Natürlich kann man darüber spekulieren, ob eine richtige Template-Engine nicht die bessere Lösung ist, aber eventuell liegen die Text-Srngs in der Datenbank nun einmal in genau dem beschriebenen Format vor.