Holy shit, man. I wasn't trying to insult or criticize your patch. Your patch is a <i>good thing</i>. I was just pointing out that the existing ServeInvoke implementation has flaws that could allow arbitrary code execution. Your patch simply inspired me to investigate the existing code. I perhaps should've made that clearer in the first reply.<div>
<br></div><div>And yes, replying to your patch was appropriate because I was essentially trying to say: this patch is good, but more work should be done relating to this section of the code. Again, I perhaps should've made that clearer.<div>
<br></div><div>And yes, it is very true that I don't currently have the motivation to actually write a patch to fix the issue, but the solution is fairly obvious: drop all the surrounding quotes and add backslashes before any unacceptable characters. (Or keep the quotes and add backslashes before unacceptable characters such as other double quotes. Both methods have their downsides.)</div>
<div><br><div class="gmail_quote">On Sun, May 20, 2012 at 10:10 PM, Steven Penny <span dir="ltr"><<a href="mailto:svnpenn@gmail.com" target="_blank">svnpenn@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">NhJm wrote:<br>
> Never said that -o wasn't worthy of quotation. Just saying that the problem<br>
> (with the way *all* of the parameters are created) is that they're not<br>
> properly being escaped. Sending a double quote to the server in *any* of the<br>
> connect/play parameters will cause issues (such as the ability to execute<br>
> arbitrary commands).<br>
<br>
</div>The purpose of my patch was not to create a platform for you to grandstand about<br>
the intricacies of the Bash interpreter. Please take that to the forums, or<br>
better yet, nowhere.<br>
<br>
My patch fixes an existing problem with YouTube RTMPE videos. If you have an<br>
alternate or better solution, please provide it; otherwise go away.<br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
rtmpdump mailing list<br>
<a href="mailto:rtmpdump@mplayerhq.hu">rtmpdump@mplayerhq.hu</a><br>
<a href="https://lists.mplayerhq.hu/mailman/listinfo/rtmpdump" target="_blank">https://lists.mplayerhq.hu/mailman/listinfo/rtmpdump</a><br>
</div></div></blockquote></div><br></div></div>