おそらく、インジェクション攻撃で任意のコードを実行させられる危険と言うことを言っているのだと思うので、メタプログラミング一般の話では無いでしょう。

メタプログラミングを行うと、初心者にわかりにくいプログラムになると言うことはありますが、それは危険性とは別の話です。

コードからコードを生成するのがメタプログラミングという認識でいます。

そうだね

またこれはすなわち文字列を変数として扱う必要性が伴うことも指しています。
しかしながら文字列を変数として扱うことは危険である、やめた方がいい

ん？話飛びすぎじゃない？
「文字列を変数」は単なるString型だから、「文字列を評価」と読み替えて考えていくよ。

さて、例えばAltJSはメタプログラミングの一種だけど危険とは思えないし、
Lispなんかのマクロに至っては文字列の評価ですらない。

そして「文字列を評価」すること自体も危険性を分かって使うなら大丈夫。
開発者が書いたコードはそんなに危険じゃないんだよ。
危険なのは「ユーザーの入力値」を評価すること。

例えばTwitterのツイートやSNSの日記にクッキーのセション情報を別の鯖に保存するJavaScript文を記載して動作させて、その文章を見ただけでログイン情報を抜き出されてしまう脆弱性に繋がるとか、
ユーザーの入力値をDBに保存しようとしたら、SQL文を改ざんされてDELETE FROM usersみたいな文章を埋め込まれて実行してしまうとかね。
（もちろん有名なサービスは全て対策済だろうから安心して使えるけどね！）

JavaScriptやPHPでevalは危険だから使うなよ！絶対使うなよ！と言われる理由は下記3つだと思う

• ユーザーからの入力値に使ってしまい脆弱性の原因に
• 抽象化されるので読みづらいコードになる
• テストがしにくく、不具合を突き止めづらい

未熟なエンジニアは何も考えずに脆弱性を埋め込んでしまう。
この論外な事件が相次いだから皆が口酸っぱくして言ってるだけの話だと思うんだよね。
下2つも初心者は基礎も出来ないのに応用(メタプログラミング)しても読みづらい糞コードになるだけでしょ？
まず自分の使っている言語で上手く解決出来ないか頭をひねろという戒め的な所がある。

上級者は上手に抽象化するからあまり気にしないで良いと思う。
読みづらかったり、テストしにくいコードになるだけなら本末転倒だしね。
試してみたけどイケてないから結局辞めたとかもしょっちゅう。