]> git.p6c8.net - jirafeau_mojo42.git/blobdiff - file.php
Fix input sanitize in scripting interface
[jirafeau_mojo42.git] / file.php
index ebb5cff8c13644d9d7d6d87505c4a906e34490ee..17ef381a5a01c5e3691877c48de9b9ea81b01de4 100644 (file)
--- a/file.php
+++ b/file.php
@@ -32,7 +32,7 @@ if (!isset ($_GET['h']) || empty ($_GET['h']))
 
 $link_name = $_GET['h'];
 
-if (!preg_match ('/[0-9a-fA-Z-_]*$/', $link_name))
+if (!preg_match ('/[0-9a-zA-Z_-]{22}$/', $link_name))
 {
     require (JIRAFEAU_ROOT.'lib/template/header.php');
     echo '<div class="error"><p>' . t('Sorry, the requested file is not found') . '</p></div>';
@@ -101,7 +101,7 @@ if (!empty ($link['key']))
     if (!isset ($_POST['key']))
     {
         require (JIRAFEAU_ROOT.'lib/template/header.php');
-        echo '<div id = "upload">' .
+        echo '<div>' .
              '<form action = "' . $_SERVER['REQUEST_URI'] . '" ' .
                 'method = "post" id = "submit">'; ?>
              <input type = "hidden" name = "jirafeau" value = "<?php echo JIRAFEAU_VERSION ?>"/><?php
@@ -148,7 +148,7 @@ if (!empty ($link['key']))
 if ($cfg['download_page'] && !$password_challenged && !$button_download && !$button_preview)
 {
         require (JIRAFEAU_ROOT.'lib/template/header.php');
-        echo '<div id = "upload">' .
+        echo '<div>' .
              '<form action = "' . $_SERVER['REQUEST_URI'] . '" ' .
                 'method = "post" id = "submit">'; ?>
              <input type = "hidden" name = "jirafeau" value = "<?php echo JIRAFEAU_VERSION ?>"/><?php
@@ -174,14 +174,24 @@ if ($cfg['download_page'] && !$password_challenged && !$button_download && !$but
         exit;
 }
 
+header ('HTTP/1.0 200 OK');
 header ('Content-Length: ' . $link['file_size']);
-header ('Content-Type: ' . $link['mime_type']);
 if (!jirafeau_is_viewable ($link['mime_type']) || !$cfg['preview'] || $button_download)
-{
     header ('Content-Disposition: attachment; filename="' .
         $link['file_name'] . '"');
+else
+    header ('Content-Type: ' . $link['mime_type']);
+
+/* Read file */
+$r = fopen (VAR_FILES . $p . $link['md5'], 'r');
+while (!feof ($r))
+{
+    print fread ($r, 1024);
+    ob_flush();
 }
-readfile (VAR_FILES . $p . $link['md5']);
+fclose ($r);
+
+//readfile (VAR_FILES . $p . $link['md5']);
 
 if ($link['onetime'] == 'O')
     jirafeau_delete_link ($link_name);

patrick-canterino.de