В данном случае стоит написать свой парсер выражений и выполнять только код, пришёдший от него. Иначе в process может попасть что угодно и оно будет выполнено.
Тем более, судя по примеру, синтаксис не повторяет парсерный, а значит разбор и преобразования всё равно потребуются.