bugfix: allow GET/POST values starting with - (dash)

[cgilite] / cgilite.sh
diff --git a/cgilite.sh b/cgilite.sh

index 1c951f4ed1483756db1f4147e31223da24b29db5..3212137e68bcb262b338256d29b29d952c3ca9d1 100755 (executable)
--- a/cgilite.sh
+++ b/cgilite.sh
@@ -22,8 +22,9 @@
  # set -o posix # ksh, not portable
  setopt -o OCTAL_ZEROES 2>&-
  
-BR="$(printf '\n')"
-CR="$(printf '\r')"
+CR="\r"
+BR='
+'
  cgilite_timeout=2
  
  HEADER(){
@@ -37,20 +38,21 @@ HEADER(){
    fi
  }
  
+HEX_DECODE='
+  s;\\;\\\\;g; :HEXDECODE_X; s;%([^0-9A-F]);\\045\1;g; tHEXDECODE_X;
+  # Hexadecimal { %00 - %FF } will be transformed to octal { \000 - \377 } for posix printf
+  s;%[0123].;&\\0;g; s;%[4567].;&\\1;g; s;%[89AB].;&\\2;g; s;%[CDEF].;&\\3;g;
+  s;%[048C][0-7]\\.;&0;g; s;%[048C][89A-F]\\.;&1;g; s;%[159D][0-7]\\.;&2;g; s;%[159D][89A-F]\\.;&3;g;
+  s;%[26AE][0-7]\\.;&4;g; s;%[26AE][89A-F]\\.;&5;g; s;%[37BF][0-7]\\.;&6;g; s;%[37BF][89A-F]\\.;&7;g;
+  s;%.[08](\\..);\10;g; s;%.[19](\\..);\11;g; s;%.[2A](\\..);\12;g; s;%.[3B](\\..);\13;g;
+  s;%.[4C](\\..);\14;g; s;%.[5D](\\..);\15;g; s;%.[6E](\\..);\16;g; s;%.[7F](\\..);\17;g;
+'
+
  HEX_DECODE(){
-  printf "$(printf %s "$1" \
-  | sed -r '
-    s;\\;\\\\;g; :x; s;%([^0-9A-F]);\\045\1;g; tx;
-    # Hexadecimal { %00 - %FF } will be transformed to octal { \000 - \377 } for posix printf
-    s;%[0123].;&\\0;g; s;%[4567].;&\\1;g; s;%[89AB].;&\\2;g; s;%[CDEF].;&\\3;g;
-    s;%[048C][0-7]\\.;&0;g; s;%[048C][89A-F]\\.;&1;g; s;%[159D][0-7]\\.;&2;g; s;%[159D][89A-F]\\.;&3;g;
-    s;%[26AE][0-7]\\.;&4;g; s;%[26AE][89A-F]\\.;&5;g; s;%[37BF][0-7]\\.;&6;g; s;%[37BF][89A-F]\\.;&7;g;
-    s;%.[08](\\..);\10;g; s;%.[19](\\..);\11;g; s;%.[2A](\\..);\12;g; s;%.[3B](\\..);\13;g;
-    s;%.[4C](\\..);\14;g; s;%.[5D](\\..);\15;g; s;%.[6E](\\..);\16;g; s;%.[7F](\\..);\17;g;
-  ')"
+  printf -- "$(printf %s "$1" |sed -r "$HEX_DECODE")"
  }
  
-if [ -z "$REQUEST_METHOD" -a -z "$SERVER_PROTOCOL" ]; then
+if [ -z "$REQUEST_METHOD" ]; then
    # no webserver variables means we are running via inetd / ncat
    # so use builtin web server
  
@@ -69,7 +71,7 @@ if [ -z "$REQUEST_METHOD" -a -z "$SERVER_PROTOCOL" ]; then
      kill $cgilite_watchdog
      PATH_INFO="$(HEX_DECODE "${REQUEST_URI%\?*}")"
      QUERY_STRING="${REQUEST_URI#*\?}"
-    cgilite_headers="$(sed -u '/^\r\?$/q')"
+    cgilite_headers="$(while read -r hl; do [ "${hl%${CR}}" ] && printf '%s\n' "$hl" || break; done )"
  
      HTTP_CONTENT_LENGTH="$(HEADER Content-Length |grep -xE '[0-9]+')"
  
@@ -82,8 +84,7 @@ if [ -z "$REQUEST_METHOD" -a -z "$SERVER_PROTOCOL" ]; then
      # script.
  
      cgilite_status='200 OK'; cgilite_response=''; cgilite_cl="Connection: close${CR}";
-    . "$0" |sed '1{s;^Status: ;HTTP/1.1 ;; t; s;^;HTTP/1.1 200 OK\r\n;;}' \
-    | while read -r l; do case $l in
+    . "$0" | while read -r l; do case $l in
        Status:*) cgilite_status="${l#Status: }";;
        Content-Length:*) cgilite_cl="${l}";;
        $CR) printf '%s %s\r\n%s\n%s\n\r\n' \
@@ -104,35 +105,28 @@ fi
  [ -n "${DEBUG+x}" ] && env
  
  cgilite_count(){
-  case $1 in
-    GET)  printf %s "&${QUERY_STRING}";;
-    POST) printf %s "&${cgilite_post}";;
-    REF)  printf %s "&${HTTP_REFERER#*\?}";;
-  esac \
-  | grep -Eo '&'"$2"'=[^&]*' \
+  printf %s "&$1" \
+  | grep -oE '&'"$2"'=[^&]*' \
    | wc -l
  }
  
  cgilite_value(){
-  HEX_DECODE "$(
-    case $1 in
-      GET)  printf %s "&${QUERY_STRING}";;
-      POST) printf %s "&${cgilite_post}";;
-      REF)  printf %s "&${HTTP_REFERER#*\?}";;
-    esac \
-    | grep -Eo '&'"$2"'=[^&]*' \
-    | sed -rn "${3:-1}"'{s;^[^=]+=;;; s;\+; ;g; p;}'
-  )"
+  local str="&$1" name="$2" cnt="${3:-1}"
+  while [ $cnt -gt 0 ]; do
+    str=${str#*&${name}=}
+    cnt=$((cnt - 1))
+  done
+  printf -- "$(printf %s "${str%%&*}" |sed -r 's;\+; ;g;'"$HEX_DECODE")"
  }
  
-GET(){ cgilite_value GET $@; }
-GET_COUNT(){ cgilite_count GET $1; }
+GET(){ cgilite_value "${QUERY_STRING}" $@; }
+GET_COUNT(){ cgilite_count "${QUERY_STRING}" $1; }
  
-POST(){ cgilite_value POST $@; }
-POST_COUNT(){ cgilite_count POST $1; }
+POST(){ cgilite_value "${cgilite_post}" $@; }
+POST_COUNT(){ cgilite_count "${cgilite_post}" $1; }
  
-REF(){ cgilite_value REF $@; }
-REF_COUNT(){ cgilite_count REF $1; }
+REF(){ cgilite_value "${HTTP_REFERER#*\?}" $@; }
+REF_COUNT(){ cgilite_count "${HTTP_REFERER#*\?}" $1; }
  
  COOKIE(){
    HEX_DECODE "$(
@@ -146,7 +140,7 @@ HTML(){
    # HTML Entity Coding
    # Prints UTF-8 string as decimal Unicode Code Points
    # Useful for escaping user input for use in HTML text and attributes
-  printf %s "$*" \
+  { [ $# -eq 0 ] && cat || printf %s "$*"; } \
    | hexdump -ve '/1 "%03o\n"' \
    | while read n; do
      case $n in
@@ -169,12 +163,25 @@ URL(){
    # Code every character in URL escape hex format
    # except alphanumeric ascii
  
-  printf %s "$*" \
+  { [ $# -eq 0 ] && cat || printf %s "$*"; } \
    | hexdump -v -e '/1 ",%02X"' \
-  | tr , %
+  | sed 's;,;%;g; s;%2F;/;g;'
  }
  
+PATH(){
+  { [ $# -eq 0 ] && cat || printf %s "$*"; } \
+  | sed -r 's;^.*$;/&/;; s;/+;/;g;
+            :X;
+            s;^/\.\./;/;; s;/\./;/;g;
+            tX;
+            s;/[^/]+/\.\./;/;;
+            tX;
+            s;^(/.*)/$;\1;'
+}
+
+
  SET_COOKIE(){
+  local expire cookie
    case "$1" in
      ''|0|session) expire='';;
      [+-][0-9]*)   expire="$(date -R -d @$(($(date +%s) + $1)))";;
@@ -189,7 +196,7 @@ SET_COOKIE(){
  }
  
  REDIRECT(){
-  printf '%s: %s\r\n'
+  printf '%s: %s\r\n' \
      Status "303 See Other" \
      Content-Length 0 \
      Location "$*"