bugfix: allow GET/POST values starting with - (dash)

[cgilite] / cgilite.sh
diff --git a/cgilite.sh b/cgilite.sh

index cac905ff6ace8ae929572c5ec8a9e69afbca54ad..3212137e68bcb262b338256d29b29d952c3ca9d1 100755 (executable)
--- a/cgilite.sh
+++ b/cgilite.sh
@@ -22,8 +22,10 @@
  # set -o posix # ksh, not portable
  setopt -o OCTAL_ZEROES 2>&-
  
-BR="$(printf '\n')"
-CR="$(printf '\r')"
+CR="\r"
+BR='
+'
+cgilite_timeout=2
  
  HEADER(){
    # Read value of header line. Use this instead of
@@ -36,38 +38,64 @@ HEADER(){
    fi
  }
  
+HEX_DECODE='
+  s;\\;\\\\;g; :HEXDECODE_X; s;%([^0-9A-F]);\\045\1;g; tHEXDECODE_X;
+  # Hexadecimal { %00 - %FF } will be transformed to octal { \000 - \377 } for posix printf
+  s;%[0123].;&\\0;g; s;%[4567].;&\\1;g; s;%[89AB].;&\\2;g; s;%[CDEF].;&\\3;g;
+  s;%[048C][0-7]\\.;&0;g; s;%[048C][89A-F]\\.;&1;g; s;%[159D][0-7]\\.;&2;g; s;%[159D][89A-F]\\.;&3;g;
+  s;%[26AE][0-7]\\.;&4;g; s;%[26AE][89A-F]\\.;&5;g; s;%[37BF][0-7]\\.;&6;g; s;%[37BF][89A-F]\\.;&7;g;
+  s;%.[08](\\..);\10;g; s;%.[19](\\..);\11;g; s;%.[2A](\\..);\12;g; s;%.[3B](\\..);\13;g;
+  s;%.[4C](\\..);\14;g; s;%.[5D](\\..);\15;g; s;%.[6E](\\..);\16;g; s;%.[7F](\\..);\17;g;
+'
+
  HEX_DECODE(){
-  printf "$(printf %s "$1" \
-  | sed -r '
-    s;\\;\\\\;g; :x; s;%([^0-9A-F]);\\045\1;g; tx;
-    # Hexadecimal { %00 - %FF } will be transformed to octal { \000 - \377 } for posix printf
-    s;%[0123].;&\\0;g; s;%[4567].;&\\1;g; s;%[89AB].;&\\2;g; s;%[CDEF].;&\\3;g;
-    s;%[048C][0-7]\\.;&0;g; s;%[048C][89A-F]\\.;&1;g; s;%[159D][0-7]\\.;&2;g; s;%[159D][89A-F]\\.;&3;g;
-    s;%[26AE][0-7]\\.;&4;g; s;%[26AE][89A-F]\\.;&5;g; s;%[37BF][0-7]\\.;&6;g; s;%[37BF][89A-F]\\.;&7;g;
-    s;%.[08](\\..);\10;g; s;%.[19](\\..);\11;g; s;%.[2A](\\..);\12;g; s;%.[3B](\\..);\13;g;
-    s;%.[4C](\\..);\14;g; s;%.[5D](\\..);\15;g; s;%.[6E](\\..);\16;g; s;%.[7F](\\..);\17;g;
-  ')"
+  printf -- "$(printf %s "$1" |sed -r "$HEX_DECODE")"
  }
  
-if [ -z "$REQUEST_METHOD" -a -z "$SERVER_PROTOCOL" ]; then
+if [ -z "$REQUEST_METHOD" ]; then
    # no webserver variables means we are running via inetd / ncat
    # so use builtin web server
-  REMOTE_ADDR="${TCPREMOTEIP:-$NCAT_REMOTE_ADDR}"
-  SERVER_NAME="${TCPLOCALIP:-$NCAT_LOCAL_ADDR}"
-  SERVER_PORT="${TCPLOCALPORT:-$NCAT_LOCAL_PORT}"
-
-  read REQUEST_METHOD REQUEST_URI SERVER_PROTOCOL
-  PATH_INFO="$(HEX_DECODE "${REQUEST_URI%\?*}")"
-  QUERY_STRING="${REQUEST_URI#*\?}"
-  cgilite_headers="$(sed -u '/^\r\?$/q')"
-
-  HTTP_CONTENT_LENGTH="$(HEADER Content-Length |grep -xE '[0-9]+')"
-
-  export REMOTE_ADDR SERVER_NAME SERVER_PORT REQUEST_METHOD REQUEST_URI SERVER_PROTOCOL \
-         PATH_INFO QUERY_STRING HTTP_CONTENT_LENGTH
  
-  . "$0" |sed '1{s;^Status: ;HTTP/1.0 ;; t; s;^;HTTP/1.0 200 OK\r\n;;}'
-  exit $?
+  # Use env from inetd as webserver variables
+  REMOTE_ADDR="${TCPREMOTEIP}"
+  SERVER_NAME="${TCPLOCALIP}"
+  SERVER_PORT="${TCPLOCALPORT}"
+
+  # Wait 2 seconds for request or kill connection through watchdog.
+  # Once Request is received the watchdog will be suspended (killed).
+  # At the end of the loop the watchdog will be restarted to enable
+  # timeout for the subsequent request.
+
+  (sleep $cgilite_timeout && kill $$) & cgilite_watchdog=$!
+  while read REQUEST_METHOD REQUEST_URI SERVER_PROTOCOL; do
+    kill $cgilite_watchdog
+    PATH_INFO="$(HEX_DECODE "${REQUEST_URI%\?*}")"
+    QUERY_STRING="${REQUEST_URI#*\?}"
+    cgilite_headers="$(while read -r hl; do [ "${hl%${CR}}" ] && printf '%s\n' "$hl" || break; done )"
+
+    HTTP_CONTENT_LENGTH="$(HEADER Content-Length |grep -xE '[0-9]+')"
+
+    export REMOTE_ADDR SERVER_NAME SERVER_PORT REQUEST_METHOD REQUEST_URI SERVER_PROTOCOL \
+           PATH_INFO QUERY_STRING HTTP_CONTENT_LENGTH
+
+    # Try to serve multiple requests, provided that script serves a
+    # Content-Length header.
+    # Without Content-Length header, connection will terminate after
+    # script.
+
+    cgilite_status='200 OK'; cgilite_response=''; cgilite_cl="Connection: close${CR}";
+    . "$0" | while read -r l; do case $l in
+      Status:*) cgilite_status="${l#Status: }";;
+      Content-Length:*) cgilite_cl="${l}";;
+      $CR) printf '%s %s\r\n%s\n%s\n\r\n' \
+             'HTTP/1.1' "${cgilite_status%${CR}}" \
+             "$cgilite_response" "${cgilite_cl}"
+           cat
+           [ "${cgilite_cl#Connection}" = "${cgilite_cl}" ]; exit;;
+      *) cgilite_response="$cgilite_response${BR}$l";;
+    esac; done || exit 0;
+    (sleep $cgilite_timeout && kill $$) & cgilite_watchdog=$!
+  done
  fi
  
  if [ "$REQUEST_METHOD" = POST -a "${HTTP_CONTENT_LENGTH:=${CONTENT_LENGTH:=0}}" -gt 0 ]; then
@@ -77,35 +105,28 @@ fi
  [ -n "${DEBUG+x}" ] && env
  
  cgilite_count(){
-  case $1 in
-    GET)  printf %s "&${QUERY_STRING}";;
-    POST) printf %s "&${cgilite_post}";;
-    REF)  printf %s "&${HTTP_REFERER#*\?}";;
-  esac \
-  | grep -Eo '&'"$2"'=[^&]*' \
+  printf %s "&$1" \
+  | grep -oE '&'"$2"'=[^&]*' \
    | wc -l
  }
  
  cgilite_value(){
-  HEX_DECODE "$(
-    case $1 in
-      GET)  printf %s "&${QUERY_STRING}";;
-      POST) printf %s "&${cgilite_post}";;
-      REF)  printf %s "&${HTTP_REFERER#*\?}";;
-    esac \
-    | grep -Eo '&'"$2"'=[^&]*' \
-    | sed -rn "${3:-1}"'{s;^[^=]+=;;; s;\+; ;g; p;}'
-  )"
+  local str="&$1" name="$2" cnt="${3:-1}"
+  while [ $cnt -gt 0 ]; do
+    str=${str#*&${name}=}
+    cnt=$((cnt - 1))
+  done
+  printf -- "$(printf %s "${str%%&*}" |sed -r 's;\+; ;g;'"$HEX_DECODE")"
  }
  
-GET(){ cgilite_value GET $@; }
-GET_COUNT(){ cgilite_count GET $1; }
+GET(){ cgilite_value "${QUERY_STRING}" $@; }
+GET_COUNT(){ cgilite_count "${QUERY_STRING}" $1; }
  
-POST(){ cgilite_value POST $@; }
-POST_COUNT(){ cgilite_count POST $1; }
+POST(){ cgilite_value "${cgilite_post}" $@; }
+POST_COUNT(){ cgilite_count "${cgilite_post}" $1; }
  
-REF(){ cgilite_value REF $@; }
-REF_COUNT(){ cgilite_count REF $1; }
+REF(){ cgilite_value "${HTTP_REFERER#*\?}" $@; }
+REF_COUNT(){ cgilite_count "${HTTP_REFERER#*\?}" $1; }
  
  COOKIE(){
    HEX_DECODE "$(
@@ -119,7 +140,7 @@ HTML(){
    # HTML Entity Coding
    # Prints UTF-8 string as decimal Unicode Code Points
    # Useful for escaping user input for use in HTML text and attributes
-  printf %s "$*" \
+  { [ $# -eq 0 ] && cat || printf %s "$*"; } \
    | hexdump -ve '/1 "%03o\n"' \
    | while read n; do
      case $n in
@@ -142,27 +163,43 @@ URL(){
    # Code every character in URL escape hex format
    # except alphanumeric ascii
  
-  printf %s "$*" \
+  { [ $# -eq 0 ] && cat || printf %s "$*"; } \
    | hexdump -v -e '/1 ",%02X"' \
-  | tr , %
+  | sed 's;,;%;g; s;%2F;/;g;'
+}
+
+PATH(){
+  { [ $# -eq 0 ] && cat || printf %s "$*"; } \
+  | sed -r 's;^.*$;/&/;; s;/+;/;g;
+            :X;
+            s;^/\.\./;/;; s;/\./;/;g;
+            tX;
+            s;/[^/]+/\.\./;/;;
+            tX;
+            s;^(/.*)/$;\1;'
  }
  
+
  SET_COOKIE(){
+  local expire cookie
    case "$1" in
      ''|0|session) expire='';;
      [+-][0-9]*)   expire="$(date -R -d @$(($(date +%s) + $1)))";;
-    *)           expire="$(date -R -d "$1")";;
+    *)            expire="$(date -R -d "$1")";;
    esac
    cookie="$2"
-  
+
    printf 'Set-Cookie: %s' "$cookie"
-  [ -n "$expire" ] && printf '; Expires=%s' "$expire" 
+  [ -n "$expire" ] && printf '; Expires=%s' "${expire%+????}${expire:+GMT}"
    [ $# -ge 3 ] && shift 2 && printf '; %s' "$@"
    printf '\r\n'
  }
  
  REDIRECT(){
-  printf 'Status: 303 See Other\r\nLocation: %s\r\n\r\n' "$*"
+  printf '%s: %s\r\n' \
+    Status "303 See Other" \
+    Content-Length 0 \
+    Location "$*"
+  printf '\r\n'
    exit 0
  }
-