Я видел это несколько раз в разных местах, но никогда не находил удовлетворительного объяснения, почему это так.

Так что, надеюсь, один будет представлен здесь. Почему бы нам (по крайней мере, вообще) не использоватьexec() а такжеeval()?

РЕДАКТИРОВАТЬ: я вижу, что люди предполагают, что этот вопрос относится к веб-серверам - это не так. Я могу понять, почему неанизированная строка передаетсяexec может быть плохо Это плохо в не-веб-приложениях?