[linux] security in php en bash

[Remko Bolt]

Ik geef in een php script op de volgende manier een user supplied
password aan een bash script:

in php:
$token = str_replace( "'", "'\"'\"'", $token );
exec( "bash_script '$token' >$output" );

dan in bash_script:
/usr/local/bin/wget --http-user="$user" --http-password="$token"
--post-data="__EVENTTARGET=objDownloadRoster" $host$link

Zit hier toch nog een beerput aan security leaks of is dit veilig?