Se o seu script fosse propenso a qualquer tipo de injeção, todos os comandos inseridos por um usuário mal-intencionado seriam executados como root. Eu não acho que fique mais perigoso do que isso:)
Eu encontrei esse mesmo problema há um tempo atrás. Eu acabei tendo trabalhos do usuário submetidos em uma "pasta de fila", que foi processada por um script que eu corri através de um crontab a cada poucos minutos. Os arquivos na fila foram analisados por meus scripts com expressões regulares e todos os arquivos que continham caracteres inválidos (por exemplo, .*<-_>![]{}()\|/; ) foram descartados e o usuário foi notificado para reenviar.