Due osservazioni/suggerimenti.
Se ti assicuri che la cella contenga solo numeri e operatori (0-9 + - * /) allora puoi usare eval() senza problemi, non c'e' niente di pericoloso che si puo' fare solo con quei caratteri.
In alternativa, e forse preferibilmente, fai il calcolo con eval() in javascript prima di mandarlo al server, se uno vuole pasticciare con eval() lato client la cosa non ti tocca.