escapeshellcmdとescapeshellargがあって、どっちを使うべきなのか判断に困るってのが困るけどなあ。そういうのがPHPらしい。んで僕はたまたまescapeshellarg派...

escapeshellcmdとescapeshellargがあって、どっちを使うべきなのか判断に困るってのが困るけどなあ。そういうのがPHPらしい。んで僕はたまたまescapeshellarg派だったので、今回の件は回避できた。なんでescapeshellcmdを使わなかったかというと、escapeshellcmdはコマンド全体をエスケープするのだという思い込みがあったためなのだけど、今見たらそういう記述はなかったので、思い込みだったのだろうなあと思った。

PHPのescapeshellcmdの危険性 - 徳丸浩の日記 - いま読んでます。