<p>If I understood it right this would execute the current selection as a command. IMHO it could be dangerous to execute the selection without any sanitizing checks. A user could accidentally select the context action. In the good case it causes an error message because the selection does not include a meaningful command. But e.g. if the user is editing a bash script it could also be a <code>rm</code> command. Although this is not very likely the example points out that it can be dangerous to simply execute the current selection as-is without any checks.</p>
<p>So if this would be changed the question arises if we want to protect the user from the above by e.g. having a config option to enable/disable the selection as a command (in case that the action command is empty) or maybe add a whitelist of commands and only execute the selection if the first word is found in the whitelist.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/geany/geany/issues/1836#issuecomment-383281438">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/ABDrJ0OmjhDbZ34tqsabn4UIorVPlj0lks5tqv4rgaJpZM4Td5qs">mute the thread</a>.<img src="https://github.com/notifications/beacon/ABDrJ2kuqkTOMkJu9zA7IrElZIolAaaPks5tqv4rgaJpZM4Td5qs.gif" height="1" width="1" alt="" /></p>
<div itemscope itemtype="http://schema.org/EmailMessage">
<div itemprop="action" itemscope itemtype="http://schema.org/ViewAction">
  <link itemprop="url" href="https://github.com/geany/geany/issues/1836#issuecomment-383281438"></link>
  <meta itemprop="name" content="View Issue"></meta>
</div>
<meta itemprop="description" content="View this Issue on GitHub"></meta>
</div>

<script type="application/json" data-scope="inboxmarkup">{"api_version":"1.0","publisher":{"api_key":"05dde50f1d1a384dd78767c55493e4bb","name":"GitHub"},"entity":{"external_key":"github/geany/geany","title":"geany/geany","subtitle":"GitHub repository","main_image_url":"https://cloud.githubusercontent.com/assets/143418/17495839/a5054eac-5d88-11e6-95fc-7290892c7bb5.png","avatar_image_url":"https://cloud.githubusercontent.com/assets/143418/15842166/7c72db34-2c0b-11e6-9aed-b52498112777.png","action":{"name":"Open in GitHub","url":"https://github.com/geany/geany"}},"updates":{"snippets":[{"icon":"PERSON","message":"@LarsGit223 in #1836: If I understood it right this would execute the current selection as a command. IMHO it could be dangerous to execute the selection without any sanitizing checks. A user could accidentally select the context action. In the good case it causes an error message because the selection does not include a meaningful command. But e.g. if the user is editing a bash script it could also be a ```rm``` command. Although this is not very likely the example points out that it can be dangerous to simply execute the current selection as-is without any checks.\r\n\r\nSo if this would be changed the question arises if we want to protect the user from the above by e.g. having a config option to enable/disable the selection as a command (in case that the action command is empty) or maybe add a whitelist of commands and only execute the selection if the first word is found in the whitelist."}],"action":{"name":"View Issue","url":"https://github.com/geany/geany/issues/1836#issuecomment-383281438"}}}</script>