Александр Аксентьев

$arr[i][j]

for($i = 0; $i < count($arr); $i++;$j = 0; $j < count($arr[$i]); j++) {

и вообще почему там условий на два массива...

через eval уже ничего не получится. т.к. если вы его запускаете то и из кода его можно запустить.
запускать надо в песочнице с обрезанными функциями через disable_functions, уже писали вам.
Обрезать надо все файловые и сетевые функции как минимум.
а так же ограничивать время выполнения

не имитировать, а выполнять по настоящему надо на виртуальной машине, в песочнице

object, procedual и pdo

покупной хлеб, домашний хлеб и мука. Теплое и мягкое....

Подходов только два: ООП(объекты) и процедурный.

PDO это отдельный класс для работы с БД.
Т.к. это класс - это ООП подход.

$hex = "#ff9900";
list($r, $g, $b) = sscanf($hex, "#%02x%02x%02x");
echo "$hex -> $r $g $b";

stackoverflow.com/a/15202130/1603055

Почти всё что описали и так стандартная работа сессий.
К безопасности это добавляет примерно ничего.

Если вам нужна защита конкретно от угона сессий(хотя 99% сайтов работают и без этого,т.к. никому не упали).
Нужно в коде делать проверку по IP и/или браузеру(useragent).
И опять же это всё на сам механизм сессий-то никак не влияет. Тупо в той же сессии хранить хеш ip/браузера и в случае несовпадения сессию "разлогинивать" из под пользователя, удалять её нигде и чистить не надо, всё уже сделано за вас.
Кроме этого защиты ничего не прибавит.