To áno, ale ak nastavím permissions na 0700 a ownera na www-data, tak sa dakto dostane k vykonávaniu príkazov v php jedine pod www-data (ak nepočítam sudo skupinu a root). Čiže musím mať ošetrený web, aby trebárs niekto nevykonal takéto dačo.

$cmd = "name; hack_cmd";
exec("app ".$cmd);

Stačí pri tom kontrolovať, či tam niekto nevkladá ; alebo aj niečo iné?

Budem sa snažiť najmä, aby sa užívateľ nedostal k tomu, aby jeho vstup sa vkladal do exec()