]> git.vanrenterghem.biz Git - git.ikiwiki.info.git/blobdiff - IkiWiki.pm
meta: Security fix; don't allow alternative stylesheets to be added on pages where...
[git.ikiwiki.info.git] / IkiWiki.pm
index ca75d885b3e738ef9e99923f6d8c17941a17bfd6..443c7044796a29947936fd5de57e8e09c14bfec4 100644 (file)
@@ -7,6 +7,7 @@ use Encode;
 use HTML::Entities;
 use URI::Escape q{uri_escape_utf8};
 use POSIX;
+use Storable;
 use open qw{:utf8 :std};
 
 use vars qw{%config %links %oldlinks %pagemtime %pagectime %pagecase
@@ -37,21 +38,6 @@ sub defaultconfig () { #{{{
                qr/(^|\/).svn\//, qr/.arch-ids\//, qr/{arch}\//,
                qr/(^|\/)_MTN\//,
                qr/\.dpkg-tmp$/],
-       wiki_link_regexp => qr{
-               \[\[(?=[^!])            # beginning of link
-               (?:
-                       ([^\]\|]+)      # 1: link text
-                       \|              # followed by '|'
-               )?                      # optional
-               
-               ([^\s\]#]+)             # 2: page to link to
-               (?:
-                       \#              # '#', beginning of anchor
-                       ([^\s\]]+)      # 3: anchor text
-               )?                      # optional
-               
-               \]\]                    # end of link
-       }x,
        wiki_file_regexp => qr/(^[-[:alnum:]_.:\/+]+$)/,
        web_commit_regexp => qr/^web commit (by (.*?(?=: |$))|from (\d+\.\d+\.\d+\.\d+)):?(.*)/,
        verbose => 0,
@@ -89,8 +75,8 @@ sub defaultconfig () { #{{{
        setup => undef,
        adminuser => undef,
        adminemail => undef,
-       plugin => [qw{mdwn inline htmlscrubber passwordauth openid signinedit
-                     lockedit conditional recentchanges}],
+       plugin => [qw{mdwn link inline htmlscrubber passwordauth openid
+                       signinedit lockedit conditional recentchanges}],
        libdir => undef,
        timeformat => '%c',
        locale => undef,
@@ -101,6 +87,8 @@ sub defaultconfig () { #{{{
        numbacklinks => 10,
        account_creation_password => "",
        prefix_directives => 0,
+       hardlink => 0,
+       cgi_disable_uploads => 1,
 } #}}}
 
 sub checkconfig () { #{{{
@@ -116,6 +104,12 @@ sub checkconfig () { #{{{
                }
        }
 
+       if (ref $config{ENV} eq 'HASH') {
+               foreach my $val (keys %{$config{ENV}}) {
+                       $ENV{$val}=$config{ENV}{$val};
+               }
+       }
+
        if ($config{w3mmode}) {
                eval q{use Cwd q{abs_path}};
                error($@) if $@;
@@ -147,24 +141,6 @@ sub checkconfig () { #{{{
                umask(possibly_foolish_untaint($config{umask}));
        }
 
-       if (!$config{prefix_directives}) {
-               $config{wiki_link_regexp} = qr{
-                       \[\[                    # beginning of link
-                       (?:
-                               ([^\]\|\n\s]+)  # 1: link text
-                               \|              # followed by '|'
-                       )?                      # optional
-
-                       ([^\s\]#]+)             # 2: page to link to
-                       (?:
-                               \#              # '#', beginning of anchor
-                               ([^\s\]]+)      # 3: anchor text
-                       )?                      # optional
-
-                       \]\]                    # end of link
-               }x,
-       }
-
        run_hooks(checkconfig => sub { shift->() });
 
        return 1;
@@ -175,7 +151,9 @@ sub loadplugins () { #{{{
                unshift @INC, possibly_foolish_untaint($config{libdir});
        }
 
-       loadplugin($_) foreach @{$config{plugin}};
+       foreach my $plugin (@{$config{plugin}}) {
+               loadplugin($plugin);
+       }
 
        run_hooks(getopt => sub { shift->() });
        if (grep /^-/, @ARGV) {
@@ -313,17 +291,22 @@ sub htmlpage ($) { #{{{
        return targetpage($page, $config{htmlext});
 } #}}}
 
-sub srcfile ($) { #{{{
+sub srcfile_stat { #{{{
        my $file=shift;
+       my $nothrow=shift;
 
-       return "$config{srcdir}/$file" if -e "$config{srcdir}/$file";
+       return "$config{srcdir}/$file", stat(_) if -e "$config{srcdir}/$file";
        foreach my $dir (@{$config{underlaydirs}}, $config{underlaydir}) {
-               return "$dir/$file" if -e "$dir/$file";
+               return "$dir/$file", stat(_) if -e "$dir/$file";
        }
-       error("internal error: $file cannot be found in $config{srcdir} or underlay");
+       error("internal error: $file cannot be found in $config{srcdir} or underlay") unless $nothrow;
        return;
 } #}}}
 
+sub srcfile ($;$) { #{{{
+       return (srcfile_stat(@_))[0];
+} #}}}
+
 sub add_underlay ($) { #{{{
        my $dir=shift;
 
@@ -351,16 +334,17 @@ sub readfile ($;$$) { #{{{
        binmode($in) if ($binary);
        return \*$in if $wantfd;
        my $ret=<$in>;
+       # check for invalid utf-8, and toss it back to avoid crashes
+       if (! utf8::valid($ret)) {
+               $ret=encode_utf8($ret);
+       }
        close $in || error("failed to read $file: $!");
        return $ret;
 } #}}}
 
-sub writefile ($$$;$$) { #{{{
-       my $file=shift; # can include subdirs
-       my $destdir=shift; # directory to put file in
-       my $content=shift;
-       my $binary=shift;
-       my $writer=shift;
+sub prep_writefile ($$) {
+       my $file=shift;
+       my $destdir=shift;
        
        my $test=$file;
        while (length $test) {
@@ -369,12 +353,8 @@ sub writefile ($$$;$$) { #{{{
                }
                $test=dirname($test);
        }
-       my $newfile="$destdir/$file.ikiwiki-new";
-       if (-l $newfile) {
-               error("cannot write to a symlink ($newfile)");
-       }
 
-       my $dir=dirname($newfile);
+       my $dir=dirname("$destdir/$file");
        if (! -d $dir) {
                my $d="";
                foreach my $s (split(m!/+!, $dir)) {
@@ -385,6 +365,23 @@ sub writefile ($$$;$$) { #{{{
                }
        }
 
+       return 1;
+}
+
+sub writefile ($$$;$$) { #{{{
+       my $file=shift; # can include subdirs
+       my $destdir=shift; # directory to put file in
+       my $content=shift;
+       my $binary=shift;
+       my $writer=shift;
+       
+       prep_writefile($file, $destdir);
+       
+       my $newfile="$destdir/$file.ikiwiki-new";
+       if (-l $newfile) {
+               error("cannot write to a symlink ($newfile)");
+       }
+       
        my $cleanup = sub { unlink($newfile) };
        open (my $out, '>', $newfile) || error("failed to write $newfile: $!", $cleanup);
        binmode($out) if ($binary);
@@ -547,23 +544,33 @@ sub beautify_url ($) { #{{{
        if ($config{usedirs}) {
                $url =~ s!/index.$config{htmlext}$!/!;
        }
-       $url =~ s!^$!./!; # Browsers don't like empty links...
+
+       # Ensure url is not an empty link, and
+       # if it's relative, make that explicit to avoid colon confusion.
+       if ($url !~ /^\//) {
+               $url="./$url";
+       }
 
        return $url;
 } #}}}
 
-sub urlto ($$) { #{{{
+sub urlto ($$;$) { #{{{
        my $to=shift;
        my $from=shift;
-
+       my $absolute=shift;
+       
        if (! length $to) {
-               return beautify_url(baseurl($from));
+               return beautify_url(baseurl($from)."index.$config{htmlext}");
        }
 
        if (! $destsources{$to}) {
                $to=htmlpage($to);
        }
 
+       if ($absolute) {
+               return $config{url}.beautify_url("/".$to);
+       }
+
        my $link = abs2rel($to, dirname(htmlpage($from)));
 
        return beautify_url($link);
@@ -605,10 +612,10 @@ sub htmllink ($$$;@) { #{{{
                        return "<span class=\"createlink\"><a href=\"".
                                cgiurl(
                                        do => "create",
-                                       page => pagetitle(lc($link), 1),
+                                       page => lc($link),
                                        from => $lpage
                                ).
-                               "\">?</a>$linktext</span>"
+                               "\" rel=\"nofollow\">?</a>$linktext</span>"
                }
        }
        
@@ -642,14 +649,18 @@ sub userlink ($) { #{{{
                return "<a href=\"$user\">$oiduser</a>";
        }
        else {
+               eval q{use CGI 'escapeHTML'};
+               error($@) if $@;
+
                return htmllink("", "", escapeHTML(
                        length $config{userdir} ? $config{userdir}."/".$user : $user
                ), noimageinline => 1);
        }
 } #}}}
 
-sub htmlize ($$$) { #{{{
+sub htmlize ($$$$) { #{{{
        my $page=shift;
+       my $destpage=shift;
        my $type=shift;
        my $content=shift;
        
@@ -668,6 +679,7 @@ sub htmlize ($$$) { #{{{
        run_hooks(sanitize => sub {
                $content=shift->(
                        page => $page,
+                       destpage => $destpage,
                        content => $content,
                );
        });
@@ -684,26 +696,22 @@ sub htmlize ($$$) { #{{{
 } #}}}
 
 sub linkify ($$$) { #{{{
-       my $lpage=shift; # the page containing the links
-       my $page=shift; # the page the link will end up on (different for inline)
+       my $page=shift;
+       my $destpage=shift;
        my $content=shift;
 
-       $content =~ s{(\\?)$config{wiki_link_regexp}}{
-               defined $2
-                       ? ( $1 
-                               ? "[[$2|$3".($4 ? "#$4" : "")."]]" 
-                               : htmllink($lpage, $page, linkpage($3),
-                                       anchor => $4, linktext => pagetitle($2)))
-                       : ( $1 
-                               ? "[[$3".($4 ? "#$4" : "")."]]"
-                               : htmllink($lpage, $page, linkpage($3),
-                                       anchor => $4))
-       }eg;
+       run_hooks(linkify => sub {
+               $content=shift->(
+                       page => $page,
+                       destpage => $destpage,
+                       content => $content,
+               );
+       });
        
        return $content;
 } #}}}
 
-my %preprocessing;
+our %preprocessing;
 our $preprocess_preview=0;
 sub preprocess ($$$;$$) { #{{{
        my $page=shift; # the page the data comes from
@@ -721,6 +729,8 @@ sub preprocess ($$$;$$) { #{{{
                my $prefix=shift;
                my $command=shift;
                my $params=shift;
+               $params="" if ! defined $params;
+
                if (length $escape) {
                        return "[[$prefix$command $params]]";
                }
@@ -933,39 +943,49 @@ sub loadindex () { #{{{
        %oldrenderedfiles=%pagectime=();
        if (! $config{rebuild}) {
                %pagesources=%pagemtime=%oldlinks=%links=%depends=
-                       %destsources=%renderedfiles=%pagecase=%pagestate=();
-       }
-       open (my $in, "<", "$config{wikistatedir}/index") || return;
-       while (<$in>) {
-               $_=possibly_foolish_untaint($_);
-               chomp;
-               my %items;
-               $items{link}=[];
-               $items{dest}=[];
-               foreach my $i (split(/ /, $_)) {
-                       my ($item, $val)=split(/=/, $i, 2);
-                       push @{$items{$item}}, decode_entities($val);
+               %destsources=%renderedfiles=%pagecase=%pagestate=();
+       }
+       my $in;
+       if (! open ($in, "<", "$config{wikistatedir}/indexdb")) {
+               if (-e "$config{wikistatedir}/index") {
+                       system("ikiwiki-transition", "indexdb", $config{srcdir});
+                       open ($in, "<", "$config{wikistatedir}/indexdb") || return;
                }
-
-               next unless exists $items{src}; # skip bad lines for now
-
-               my $page=pagename($items{src}[0]);
+               else {
+                       return;
+               }
+       }
+       my $ret=Storable::fd_retrieve($in);
+       if (! defined $ret) {
+               return 0;
+       }
+       my %index=%$ret;
+       foreach my $src (keys %index) {
+               my %d=%{$index{$src}};
+               my $page=pagename($src);
+               $pagectime{$page}=$d{ctime};
                if (! $config{rebuild}) {
-                       $pagesources{$page}=$items{src}[0];
-                       $pagemtime{$page}=$items{mtime}[0];
-                       $oldlinks{$page}=[@{$items{link}}];
-                       $links{$page}=[@{$items{link}}];
-                       $depends{$page}=$items{depends}[0] if exists $items{depends};
-                       $destsources{$_}=$page foreach @{$items{dest}};
-                       $renderedfiles{$page}=[@{$items{dest}}];
-                       $pagecase{lc $page}=$page;
-                       foreach my $k (grep /_/, keys %items) {
-                               my ($id, $key)=split(/_/, $k, 2);
-                               $pagestate{$page}{decode_entities($id)}{decode_entities($key)}=$items{$k}[0];
+                       $pagesources{$page}=$src;
+                       $pagemtime{$page}=$d{mtime};
+                       $renderedfiles{$page}=$d{dest};
+                       if (exists $d{links} && ref $d{links}) {
+                               $links{$page}=$d{links};
+                               $oldlinks{$page}=[@{$d{links}}];
+                       }
+                       if (exists $d{depends}) {
+                               $depends{$page}=$d{depends};
+                       }
+                       if (exists $d{state}) {
+                               $pagestate{$page}=$d{state};
                        }
                }
-               $oldrenderedfiles{$page}=[@{$items{dest}}];
-               $pagectime{$page}=$items{ctime}[0];
+               $oldrenderedfiles{$page}=[@{$d{dest}}];
+       }
+       foreach my $page (keys %pagesources) {
+               $pagecase{lc $page}=$page;
+       }
+       foreach my $page (keys %renderedfiles) {
+               $destsources{$_}=$page foreach @{$renderedfiles{$page}};
        }
        return close($in);
 } #}}}
@@ -975,39 +995,45 @@ sub saveindex () { #{{{
 
        my %hookids;
        foreach my $type (keys %hooks) {
-               $hookids{encode_entities($_)}=1 foreach keys %{$hooks{$type}};
+               $hookids{$_}=1 foreach keys %{$hooks{$type}};
        }
-       my @hookids=sort keys %hookids;
+       my @hookids=keys %hookids;
 
        if (! -d $config{wikistatedir}) {
                mkdir($config{wikistatedir});
        }
-       my $newfile="$config{wikistatedir}/index.new";
+       my $newfile="$config{wikistatedir}/indexdb.new";
        my $cleanup = sub { unlink($newfile) };
        open (my $out, '>', $newfile) || error("cannot write to $newfile: $!", $cleanup);
+       my %index;
        foreach my $page (keys %pagemtime) {
                next unless $pagemtime{$page};
-               my $line="mtime=$pagemtime{$page} ".
-                       "ctime=$pagectime{$page} ".
-                       "src=$pagesources{$page}";
-               $line.=" dest=$_" foreach @{$renderedfiles{$page}};
-               my %count;
-               $line.=" link=$_" foreach grep { ++$count{$_} == 1 } @{$links{$page}};
+               my $src=$pagesources{$page};
+
+               $index{$src}={
+                       ctime => $pagectime{$page},
+                       mtime => $pagemtime{$page},
+                       dest => $renderedfiles{$page},
+                       links => $links{$page},
+               };
+
                if (exists $depends{$page}) {
-                       $line.=" depends=".encode_entities($depends{$page}, " \t\n");
+                       $index{$src}{depends} = $depends{$page};
                }
+
                if (exists $pagestate{$page}) {
                        foreach my $id (@hookids) {
                                foreach my $key (keys %{$pagestate{$page}{$id}}) {
-                                       $line.=' '.$id.'_'.encode_entities($key)."=".encode_entities($pagestate{$page}{$id}{$key}, " \t\n");
+                                       $index{$src}{state}{$id}{$key}=$pagestate{$page}{$id}{$key};
                                }
                        }
                }
-               print $out $line."\n" || error("failed writing to $newfile: $!", $cleanup);
        }
+       my $ret=Storable::nstore_fd(\%index, $out);
+       return if ! defined $ret || ! $ret;
        close $out || error("failed saving to $newfile: $!", $cleanup);
-       rename($newfile, "$config{wikistatedir}/index") ||
-               error("failed renaming $newfile to $config{wikistatedir}/index", $cleanup);
+       rename($newfile, "$config{wikistatedir}/indexdb") ||
+               error("failed renaming $newfile to $config{wikistatedir}/indexdb", $cleanup);
        
        return 1;
 } #}}}
@@ -1143,6 +1169,8 @@ sub add_depends ($$) { #{{{
        my $page=shift;
        my $pagespec=shift;
        
+       return unless pagespec_valid($pagespec);
+
        if (! exists $depends{$page}) {
                $depends{$page}=$pagespec;
        }
@@ -1204,8 +1232,6 @@ sub pagespec_merge ($$) { #{{{
 } #}}}
 
 sub pagespec_translate ($) { #{{{
-       # This assumes that $page is in scope in the function
-       # that evalulates the translated pagespec code.
        my $spec=shift;
 
        # Support for old-style GlobLists.
@@ -1242,18 +1268,23 @@ sub pagespec_translate ($) { #{{{
                }
                elsif ($word =~ /^(\w+)\((.*)\)$/) {
                        if (exists $IkiWiki::PageSpec::{"match_$1"}) {
-                               $code.="IkiWiki::PageSpec::match_$1(\$page, ".safequote($2).", \@params)";
+                               $code.="IkiWiki::PageSpec::match_$1(\$page, ".safequote($2).", \@_)";
                        }
                        else {
                                $code.=' 0';
                        }
                }
                else {
-                       $code.=" IkiWiki::PageSpec::match_glob(\$page, ".safequote($word).", \@params)";
+                       $code.=" IkiWiki::PageSpec::match_glob(\$page, ".safequote($word).", \@_)";
                }
        }
 
-       return $code;
+       if (! length $code) {
+               $code=0;
+       }
+
+       no warnings;
+       return eval 'sub { my $page=shift; '.$code.' }';
 } #}}}
 
 sub pagespec_match ($$;@) { #{{{
@@ -1266,9 +1297,23 @@ sub pagespec_match ($$;@) { #{{{
                unshift @params, 'location';
        }
 
-       my $ret=eval pagespec_translate($spec);
-       return IkiWiki::FailReason->new('syntax error') if $@;
-       return $ret;
+       my $sub=pagespec_translate($spec);
+       return IkiWiki::FailReason->new("syntax error in pagespec \"$spec\"") if $@;
+       return $sub->($page, @params);
+} #}}}
+
+sub pagespec_valid ($) { #{{{
+       my $spec=shift;
+
+       my $sub=pagespec_translate($spec);
+       return ! $@;
+} #}}}
+       
+sub glob2re ($) { #{{{
+       my $re=quotemeta(shift);
+       $re=~s/\\\*/.*/g;
+       $re=~s/\\\?/./g;
+       return $re;
 } #}}}
 
 package IkiWiki::FailReason;
@@ -1281,7 +1326,9 @@ use overload ( #{{{
 ); #}}}
 
 sub new { #{{{
-       return bless \$_[1], $_[0];
+       my $class = shift;
+       my $value = shift;
+       return bless \$value, $class;
 } #}}}
 
 package IkiWiki::SuccessReason;
@@ -1294,7 +1341,9 @@ use overload ( #{{{
 ); #}}}
 
 sub new { #{{{
-       return bless \$_[1], $_[0];
+       my $class = shift;
+       my $value = shift;
+       return bless \$value, $class;
 }; #}}}
 
 package IkiWiki::PageSpec;
@@ -1313,12 +1362,8 @@ sub match_glob ($$;@) { #{{{
                $glob="$from/$glob" if length $from;
        }
 
-       # turn glob into safe regexp
-       $glob=quotemeta($glob);
-       $glob=~s/\\\*/.*/g;
-       $glob=~s/\\\?/./g;
-
-       if ($page=~/^$glob$/i) {
+       my $regexp=IkiWiki::glob2re($glob);
+       if ($page=~/^$regexp$/i) {
                if (! IkiWiki::isinternal($page) || $params{internal}) {
                        return IkiWiki::SuccessReason->new("$glob matches $page");
                }