Brzmi jak prosty sposób na katastrofę. Nie trzymałbym kodu w bazie danych, a po stronie API bym po prostu zastosował jakiś prymitywny system szablonów, np.
Witaj, {{@nick}}!
I w PHP zamieniłbym tę zmienną na dane z formularza:
$msg = 'Witaj, {{@nick}}!';
echo preg_replace_callback( '/\\{\\{@(.+?)\\}\\}/', function( $matches ) {
$formKey = $matches[ 1 ];
return $_POST[ $formKey ];
}, $msg );
Ten kod podmieni {{@nick}} na wartość zmiennej $_POST[ 'nick' ]. W ten sposób możesz wyświetlać dowolne przesłane dane, bez konieczności trzymania kodu w bazie.
Oczywiście możesz zamiast tego zastosować dowolny system szablonów.