]> git.p6c8.net - jirafeau_mojo42.git/blobdiff - file.php
Fix input sanitize in scripting interface
[jirafeau_mojo42.git] / file.php
index 0a1554c8c3d8805d4219f23be799f53c1c662648..17ef381a5a01c5e3691877c48de9b9ea81b01de4 100644 (file)
--- a/file.php
+++ b/file.php
@@ -101,7 +101,7 @@ if (!empty ($link['key']))
     if (!isset ($_POST['key']))
     {
         require (JIRAFEAU_ROOT.'lib/template/header.php');
-        echo '<div id = "upload">' .
+        echo '<div>' .
              '<form action = "' . $_SERVER['REQUEST_URI'] . '" ' .
                 'method = "post" id = "submit">'; ?>
              <input type = "hidden" name = "jirafeau" value = "<?php echo JIRAFEAU_VERSION ?>"/><?php
@@ -148,7 +148,7 @@ if (!empty ($link['key']))
 if ($cfg['download_page'] && !$password_challenged && !$button_download && !$button_preview)
 {
         require (JIRAFEAU_ROOT.'lib/template/header.php');
-        echo '<div id = "upload">' .
+        echo '<div>' .
              '<form action = "' . $_SERVER['REQUEST_URI'] . '" ' .
                 'method = "post" id = "submit">'; ?>
              <input type = "hidden" name = "jirafeau" value = "<?php echo JIRAFEAU_VERSION ?>"/><?php
@@ -174,14 +174,24 @@ if ($cfg['download_page'] && !$password_challenged && !$button_download && !$but
         exit;
 }
 
+header ('HTTP/1.0 200 OK');
 header ('Content-Length: ' . $link['file_size']);
-header ('Content-Type: ' . $link['mime_type']);
 if (!jirafeau_is_viewable ($link['mime_type']) || !$cfg['preview'] || $button_download)
-{
     header ('Content-Disposition: attachment; filename="' .
         $link['file_name'] . '"');
+else
+    header ('Content-Type: ' . $link['mime_type']);
+
+/* Read file */
+$r = fopen (VAR_FILES . $p . $link['md5'], 'r');
+while (!feof ($r))
+{
+    print fread ($r, 1024);
+    ob_flush();
 }
-readfile (VAR_FILES . $p . $link['md5']);
+fclose ($r);
+
+//readfile (VAR_FILES . $p . $link['md5']);
 
 if ($link['onetime'] == 'O')
     jirafeau_delete_link ($link_name);

patrick-canterino.de