C'est vrai qu'il y a toujours le risque d'oublier quelque chose. De toute façon tout autoriser par défaut et bloquer certaines choses, ça n'a jamais été une méthode fiable... Donc je vais plutôt m'orienter vers la création d'un petit interpréteur, avec une syntaxe identique à celle de PHP.

C'est la meilleure solution.
D'ailleurs, étant moi même intéressé par un interpréteur de code, je te propose mon aide.

Ton aide est la bienvenue

Par contre je dois d'abord finir un projet en cours (cf signature) donc je ne m'y mettrai sérieusement que dans une ou deux semaines je pense.

A partir du moment où tu autorises la création de fonctions, les for, foreach et while c'est la porte ouverte à tous les problèmes. Va falloir rudement faire confiance à tes membres hein ... Comment créer des boucles infinies ?

while (1) // N'importe quel nombre marche ...

while (true)

$toto = 42;
$titi = 42;
while ($titi == $toto)

function recurs()
{
   recurs();
}
recurs();

for ($i = 0; $i > -1; $i++)
{

}

etc etc ...

Il y a trop de moyens de faire n'importe quoi, même avec les instructions les plus simples.

A mon avis : je sais pas pourquoi tu as besoin que tes utilisateurs utilisent du PHP, mais oublie cette idée.