Hallo,

es ist immer Vorsicht geboten externe Programme von einem PHP-Skript aus zu Starten,diese haben meißt den gleichen Webserverprozess und sind Gefährlich.Gerade wenn die externe Programme vuln sind,habe diese die gleiche Rechte wie der PHP-Prozess

Sollte es dennoch nötig sein ein externes Programm zu Starten sollte man escapeshellarg() zum escapen Nutzen.

header("Content-type: text/plain");
$commando = "testme";
if(isset($_POST["demo"])) {
echo "Hier ".$commando.escapeshellarg($_POST["demo"])."\r\n";
system($commando.escapeshellarg($_POST["demo"])); } ?>

Ich gehe auf das Thema mal nicht näher ein.