Bu fonksiyonlar zararlı değil, kullanım amacı zararlı olabilir. Bunu düşünerek en fazla "risk" olarak nitelendirilebilir. Sonuçta shell fonksiyonunu kullanan ve iyi bir amaca hizmet eden bir yazılım da olabilir. Elinde bıçak olan birine katil diyemezsin.

PHP epey esnek bir dil, if else ile düz mantık ile bu riskleri tarayamazsın. Zaten zararlı yazılım geliştiren biri bu tür şeyleri öngörür. Örneğin,

echo exec('php -v');

ile

$e = 'e';
$x = 'x';
$c = 'c';

echo ("$e$x$e$c")('p'.'h'.'p'.'-'.'v');

aynı kapıya çıkıyor. Sapla samanı birbirine karıştırıp her türlü scripte yedirilebilir.

Kısaca bu tür yanılgılara düşmemeliyiz sayın ninja.