perfetto, in effetti non avevo pensato a questa serie di problemi.

comunque la soluzione che segue mi va bene:

In questo caso puoi anche evitare di usare $var nella stringa, ma, ad esempio, chiamarla {{var}}
codice:
$row['variabile']='<input type="text" name="variabile" value="{{var}}">';
così
codice:
$data = array(
'{{var}}'=> $_POST['valore_postato'];
);

echo strtr($row['variabile'], $data);
in questo caso, sono un po' più "al sicuro" ?!