В общем случае нет. Ведь конфиг не сохраняется на сервере. А если сохраняется, то без права запуска. Хотя в теории вирус можно загрузить и без конструктора, но это другая история.
Предотвращение атак - это обширная тема. И конструктор здесь самый незначительный фактор из всех, которые придётся учитывать. Но вообще касаемо конструктора, если вводимые данные имеют какой-то безопасный формат, то можно проверять соответствие этому формату.
Например, если в поле вводится число, то это можно легко проверить.
А исключить php в текстовых полях можно поиском пары символов "<?" - и если такая подстрока встречается, то это плохой текст, и конструктор должен запрещать его.
Простой
