两者都man mplayer对man mpv选项发出警告-playlist:
--播放列表=
根据播放列表文件播放文件(支持一些常见格式。如果未检测到格式,将被视为文件列表,以换行符分隔。注意,不支持 XML 播放列表格式。)
您可以直接播放播放列表,无需此选项,但是,此选项会禁用可能存在的任何安全机制。您可能还需要此选项来将纯文本文件加载为播放列表。
警告:
mpv 使用播放列表文件的方式通过--playlist 对于恶意构建的文件并不安全。此类文件可能会触发有害操作。所有 mpv 和 MPlayer 版本都是如此,但不幸的是,这一事实之前没有得到很好的记录,有些人甚至错误地建议对不受信任的来源使用 --playlist。不要将 --playlist 与随机互联网来源或您不信任的文件一起使用!
播放列表可以包含使用其他协议的条目,例如本地文件,或者(最严重的)特殊协议,例如 avdevice://,这些协议本质上是不安全的。
但如果我们从未见过这样的例子,如何保护我们自己恶意构造的文件?
我知道av://v4l2:/dev/video0并且tv://(mpv已禁用它)可以录制网络摄像头,但是是否可以仅使用文件名进行无声(-novideo)录制?或者可以只用文件名上传到外部IP吗?我们应该注意哪些可能精心设计的恶意文件名或协议?