<p><a class="user-mention" data-hovercard-user-id="811085" data-octo-click="hovercard-link-click" data-octo-dimensions="link_type:self" href="https://github.com/elextr">@elextr</a>: what I mean was that now the command is stored in <code>command</code> and nothing will be executed at all if <code>command</code> is empty. So right now the selection in <code>%s</code> is not checked but it is only used as command parameters. Therefore there is a certain check because someone needs to have configured the value of <code>command</code>. With the change suggested the risk is different IMHO.</p>
<p>Yes right now someone could select <code>; rm -rf /</code> but I thought of the risk by having a word selected and accidentally run the context menu. A combination like <code>; rm -rf /</code> needs to be selected explicitly as it not just a word.</p>
<p>But I am not picky on this, just wanted to point it out.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br />You are receiving this because you are subscribed to this thread.<br />Reply to this email directly, <a href="https://github.com/geany/geany/issues/1836#issuecomment-383287685">view it on GitHub</a>, or <a href="https://github.com/notifications/unsubscribe-auth/ABDrJ2r9O-6oxd_zZDHDKpUPY-ZosrTKks5tqxkJgaJpZM4Td5qs">mute the thread</a>.<img src="https://github.com/notifications/beacon/ABDrJ8TrfJwSEdJAgS_f2kqXnXmWwcRlks5tqxkJgaJpZM4Td5qs.gif" height="1" width="1" alt="" /></p>
<div itemscope itemtype="http://schema.org/EmailMessage">
<div itemprop="action" itemscope itemtype="http://schema.org/ViewAction">
  <link itemprop="url" href="https://github.com/geany/geany/issues/1836#issuecomment-383287685"></link>
  <meta itemprop="name" content="View Issue"></meta>
</div>
<meta itemprop="description" content="View this Issue on GitHub"></meta>
</div>

<script type="application/json" data-scope="inboxmarkup">{"api_version":"1.0","publisher":{"api_key":"05dde50f1d1a384dd78767c55493e4bb","name":"GitHub"},"entity":{"external_key":"github/geany/geany","title":"geany/geany","subtitle":"GitHub repository","main_image_url":"https://cloud.githubusercontent.com/assets/143418/17495839/a5054eac-5d88-11e6-95fc-7290892c7bb5.png","avatar_image_url":"https://cloud.githubusercontent.com/assets/143418/15842166/7c72db34-2c0b-11e6-9aed-b52498112777.png","action":{"name":"Open in GitHub","url":"https://github.com/geany/geany"}},"updates":{"snippets":[{"icon":"PERSON","message":"@LarsGit223 in #1836: @elextr: what I mean was that now the command is stored in ```command``` and nothing will be executed at all if ```command``` is empty. So right now the selection in ```%s``` is not checked but it is only used as command parameters. Therefore there is a certain check because someone needs to have configured the value of ```command```. With the change suggested the risk is different IMHO.\r\n\r\nYes right now someone could select ```; rm -rf /``` but I thought of the risk by having a word selected and accidentally run the context menu. A combination like ```; rm -rf /``` needs to be selected explicitly as it not just a word.\r\n\r\nBut I am not picky on this, just wanted to point it out."}],"action":{"name":"View Issue","url":"https://github.com/geany/geany/issues/1836#issuecomment-383287685"}}}</script>