Я сделал что-то подобное пару лет назад. Это было (мне кажется, кажется) довольно безопасным и доступным только для ограниченного числа предварительно проверенных, аутентифицированных пользователей, но это все еще оставляло у меня неприятное чувство! Если вы можете избежать этого, я бы порекомендовал вам:)
У меня была база данных, расположенная между веб-уровнем веб-интерфейса и сценарием, который фактически выполнял действия. Соответствующая таблица содержала символическое имя команды и необязательный числовой аргумент, которого было достаточно для моих нужд. Это позволяет вам проверять то, что было выполнено, обеспечивает быстрый и грязный способ заставить пользователей, не принадлежащих к www, что-то делать, и означает, что если сайт скомпрометирован, они ограничены структурой БД (отчасти) и сценарием, который извлекает данные это.
Данные из БД могут быть прочитаны демоном, работающим в отдельной непривилегированной учетной записи. Демон извлекает и очищает данные из БД и отображает «команду» в фактический исполняемый файл (с жестко закодированной картой, поэтому команда A выполняет A, команда B выполняет foo, а все остальное будет помечено как ошибка). Учетная запись может быть заблокирована с помощью AppArmor (или SELinux, я думаю), чтобы предотвратить выполнение, чтение или запись того, чего вы не ожидаете. У вас есть система, которая предупреждает вас о любых ошибках либо демона, либо AppArmor / SELinux.
Исполняемые файлы, которые запускает демон, могут быть настроены при необходимости, или вы можете использовать механизм sudoers, чтобы позволить непривилегированной учетной записи выполнять их без пароля.