]> git.p6c8.net - devedit.git/blobdiff - modules/Tool.pm
- Fixed a security problem:
[devedit.git] / modules / Tool.pm
index 4efefe51f30b07dc7523ffee09e967456b1b32fc..5ed1ba238bf170786ecd099d33f3d65e8b7d7aaf 100644 (file)
@@ -6,7 +6,7 @@ package Tool;
 # Some shared sub routines
 #
 # Author:        Patrick Canterino <patrick@patshaping.de>
-# Last modified: 2005-04-21
+# Last modified: 2005-11-10
 #
 
 use strict;
@@ -32,6 +32,7 @@ use base qw(Exporter);
              encode_html
              equal_url
              file_name
+             is_forbidden_file
              mode_string
              multi_string
              upper_path);
@@ -63,6 +64,7 @@ sub check_path($$)
  # We extract the last part of the path and create the absolute path
 
  my $first = upper_path($path);
+ $first    = File::Spec->canonpath($first);
  $first    = abs_path($first);
 
  my $last  = file_name($path);
@@ -79,6 +81,7 @@ sub check_path($$)
  # Check if the path is above the root directory
 
  return if(index($path,$root) != 0);
+ return if(substr($path,length($root)) && not File::Spec->file_name_is_absolute(substr($path,length($root))));
 
  # Create short path name
 
@@ -254,6 +257,29 @@ sub file_name($)
  return $path;
 }
 
+# is_forbidden_file()
+#
+# Check if a file is in the list of forbidden files
+#
+# Params: 1. Array Reference containing the list
+#         2. Filename to check
+#
+# Return: Status code (Boolean)
+
+sub is_forbidden_file($$)
+{
+ my ($list,$file) = @_;
+ $file =~ s!/+$!!g;
+
+ foreach my $entry(@$list)
+ {
+  return 1 if($file eq $entry);
+  return 1 if(index($file,$entry.'/') == 0);
+ }
+
+ return;
+}
+
 # mode_string()
 #
 # Convert a file mode number into a human readable string (rwxr-x-r-x)

patrick-canterino.de