<p><a href="https://github.com/elextr" class="user-mention">@elextr</a> okay it might be hard-ish to quote properly, <em>but</em> it's impossible for the user to escape properly.  Just plain impossible.  If the <code>%f</code> expanded to i.e. <code>foo"bar'baz</code> or worse, <code>'foo $(rm -rf ~ 2>/dev/null) bar'</code> (or without the quotes that are meant to create the injection in case it's surrounded by <code>'</code> already).<br>
You can <code>s/quote/escape/</code> in my comment if you prefer, but that's the same deal.</p>

<p>And yes, we could just not care and hope it's all fine.  Not sure if it's very sensible though.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br>Reply to this email directly or <a href="https://github.com/geany/geany/pull/792#issuecomment-185729783">view it on GitHub</a>.<img alt="" height="1" src="https://github.com/notifications/beacon/ABDrJ6auMLQ8SEYTtO3uy73HY4GUEYxaks5plcKPgaJpZM4GxDdm.gif" width="1" /></p>
<div itemscope itemtype="http://schema.org/EmailMessage">
<div itemprop="action" itemscope itemtype="http://schema.org/ViewAction">
  <link itemprop="url" href="https://github.com/geany/geany/pull/792#issuecomment-185729783"></link>
  <meta itemprop="name" content="View Pull Request"></meta>
</div>
<meta itemprop="description" content="View this Pull Request on GitHub"></meta>
</div>