Что значит не использовать eval на сервере? Для пользовательских данных не использовать, для админских использовать.
Diego, твою цмс вряд ли кто то прям так ринется сразу ломать, только если ты очевидно не наплужил с тем же xss. PDO юзаешь?
Насчет безопасности глянь
тут.
еще сразу что в голову пришло:
1) тексты пых скриптов пиши без завершающего ?>
2)
csrf.
3) Пользовательские формы помечай маркером, что это форма сайта.
4) Прогугли про общую доступность файлов сессий на виртуальных хостингах, соответственно авторизацию продумай.