在必须逃脱/保护“奇怪” /嵌套引用命令的情况下，该如何处理？

我已经完成了一个功能，可以根据Windows中的“驱动器标签”显示驱动器号（C，D，E等）。原因是驱动器号不可靠，并且在我重新安装计算机时经常更改。我自己给它添加了“驱动器标签”，例如“ disK 6”，在我内部和备份驱动器的复杂系统中，它具有特殊的意义。

我发现根据终端上的驱动器标签获取驱动器号的唯一方法（这样我就可以从我的PHP CLI脚本中执行它）：

wmic volume where "Label='disK 6'" get DriveLetter /format:list

它将输出（周围带有一堆空格）：

DriveLetter=D:

然后我必须从该输出中对表达式“ D”进行正则表达式。我已经做了。该功能正在运行。问题是我担心系统的安全性。

该函数的相关部分目前是这样实现的：

$output = shell_exec('wmic volume where "Label=\'' . $drive_label . '\'" get DriveLetter /format:list');

如果有人发送诸如'"; format c:' as the $ drive_label`之类的消息，则可能存在诸如擦拭我的驱动器之类的问题。即使我只希望自己以受控的方式使用此功能，也只是在理论上可能做到的思想会让我彻夜难眠。

我对escapeshellarg非常了解，但是这里到底要做什么？我们已经在“双引号”内了，这就像“内部单引号”一样，因此，如果我只是这样做：

$drive_label = 'disK 6';
var_dump('wmic volume where "Label=\'' . escapeshellarg($drive_label) . '\'" get DriveLetter /format:list');

这将是结果：

string(65) "wmic volume where "Label='"disK 6"'" get DriveLetter /format:list"

如果以实际命令运行，则会出现错误：

6"'" - Invalid alias verb.

这不是我第一次或唯一遇到类似情况，并且我永远不知道该怎么做。我想一劳永逸地解决这个问题。

“验证”或“消毒”标签不是一种选择，因为它（理论上）可能包含各种特殊字符。

此外，出于良好的考虑，我也尝试过：

$drive_label = 'disK 6';
var_dump('wmic volume where "Label=\'' . WinBox\Args::escape($drive_label) . '\'" get DriveLetter /format:list');

但是，这只会产生与escapeshellarg完全相同的输出。

我知道PHP具有一个精美的新终端函数，该函数需要一个参数数组，但是问题在于它极其神秘且难以使用，除了一个细节之外，这导致了我避免它。我希望所有其他功能（例如shell_exec()）也将仅支持“参数化终端命令”。但是，坦率地说，即使他们这样做了，我仍然不清楚如何去做。

我怀疑大多数人都不会考虑这一点，或者以某种方式“清理”输入，但是如果不破坏输入，就无法做到这一点。我不喜欢“针对这种特殊情况”的脆弱解决方案。我想要一个可靠的机制。