podle mě na to jdeš zgruntu špatně.

Dnes se aplikace staví vícestupňově, takže web jen dělá čumendu a sbírá data, která uloží na určené místo.
Samotnou černou práci odvádí démon, který s webovými službami nemá a nesmí mít nic společného. V tvém případě to může být bashový/perlový/... skript, který poběží "na pozadí" a s webem nebude mít společného nic jiného, než vytažení dat, která uložil web (vytvořit/smazat usera, spustit příkaz - to ovšem můžeš udělat už rovnou v samotném skriptu a tím snížit případnou plochu pro útok, ...) a podle svého programování tyto akce bude provádět sám.

Ano, má to malou chybku - není to okamžité, bude to mírně pomalejší a s prodlevou. Ale bude to řádově bezpečnější. Cesta, kterou jdeš ty, je cesta k hacku.