Check size of path buffer before writing into it
[git] / setup.c
1 #include "cache.h"
2 #include "dir.h"
3
4 static int inside_git_dir = -1;
5 static int inside_work_tree = -1;
6
7 const char *prefix_path(const char *prefix, int len, const char *path)
8 {
9         const char *orig = path;
10         char *sanitized = xmalloc(len + strlen(path) + 1);
11         if (is_absolute_path(orig))
12                 strcpy(sanitized, path);
13         else {
14                 if (len)
15                         memcpy(sanitized, prefix, len);
16                 strcpy(sanitized + len, path);
17         }
18         if (normalize_path_copy(sanitized, sanitized))
19                 goto error_out;
20         if (is_absolute_path(orig)) {
21                 size_t root_len, len, total;
22                 const char *work_tree = get_git_work_tree();
23                 if (!work_tree)
24                         goto error_out;
25                 len = strlen(work_tree);
26                 root_len = offset_1st_component(work_tree);
27                 total = strlen(sanitized) + 1;
28                 if (strncmp(sanitized, work_tree, len) ||
29                     (len > root_len && sanitized[len] != '\0' && sanitized[len] != '/')) {
30                 error_out:
31                         die("'%s' is outside repository", orig);
32                 }
33                 if (sanitized[len] == '/')
34                         len++;
35                 memmove(sanitized, sanitized + len, total - len);
36         }
37         return sanitized;
38 }
39
40 /*
41  * Unlike prefix_path, this should be used if the named file does
42  * not have to interact with index entry; i.e. name of a random file
43  * on the filesystem.
44  */
45 const char *prefix_filename(const char *pfx, int pfx_len, const char *arg)
46 {
47         static char path[PATH_MAX];
48 #ifndef WIN32
49         if (!pfx || !*pfx || is_absolute_path(arg))
50                 return arg;
51         memcpy(path, pfx, pfx_len);
52         strcpy(path + pfx_len, arg);
53 #else
54         char *p;
55         /* don't add prefix to absolute paths, but still replace '\' by '/' */
56         if (is_absolute_path(arg))
57                 pfx_len = 0;
58         else
59                 memcpy(path, pfx, pfx_len);
60         strcpy(path + pfx_len, arg);
61         for (p = path + pfx_len; *p; p++)
62                 if (*p == '\\')
63                         *p = '/';
64 #endif
65         return path;
66 }
67
68 int check_filename(const char *prefix, const char *arg)
69 {
70         const char *name;
71         struct stat st;
72
73         name = prefix ? prefix_filename(prefix, strlen(prefix), arg) : arg;
74         if (!lstat(name, &st))
75                 return 1; /* file exists */
76         if (errno == ENOENT || errno == ENOTDIR)
77                 return 0; /* file does not exist */
78         die_errno("failed to stat '%s'", arg);
79 }
80
81 static void NORETURN die_verify_filename(const char *prefix, const char *arg)
82 {
83         unsigned char sha1[20];
84         unsigned mode;
85         /* try a detailed diagnostic ... */
86         get_sha1_with_mode_1(arg, sha1, &mode, 0, prefix);
87         /* ... or fall back the most general message. */
88         die("ambiguous argument '%s': unknown revision or path not in the working tree.\n"
89             "Use '--' to separate paths from revisions", arg);
90
91 }
92
93 /*
94  * Verify a filename that we got as an argument for a pathspec
95  * entry. Note that a filename that begins with "-" never verifies
96  * as true, because even if such a filename were to exist, we want
97  * it to be preceded by the "--" marker (or we want the user to
98  * use a format like "./-filename")
99  */
100 void verify_filename(const char *prefix, const char *arg)
101 {
102         if (*arg == '-')
103                 die("bad flag '%s' used after filename", arg);
104         if (check_filename(prefix, arg))
105                 return;
106         die_verify_filename(prefix, arg);
107 }
108
109 /*
110  * Opposite of the above: the command line did not have -- marker
111  * and we parsed the arg as a refname.  It should not be interpretable
112  * as a filename.
113  */
114 void verify_non_filename(const char *prefix, const char *arg)
115 {
116         if (!is_inside_work_tree() || is_inside_git_dir())
117                 return;
118         if (*arg == '-')
119                 return; /* flag */
120         if (!check_filename(prefix, arg))
121                 return;
122         die("ambiguous argument '%s': both revision and filename\n"
123             "Use '--' to separate filenames from revisions", arg);
124 }
125
126 const char **get_pathspec(const char *prefix, const char **pathspec)
127 {
128         const char *entry = *pathspec;
129         const char **src, **dst;
130         int prefixlen;
131
132         if (!prefix && !entry)
133                 return NULL;
134
135         if (!entry) {
136                 static const char *spec[2];
137                 spec[0] = prefix;
138                 spec[1] = NULL;
139                 return spec;
140         }
141
142         /* Otherwise we have to re-write the entries.. */
143         src = pathspec;
144         dst = pathspec;
145         prefixlen = prefix ? strlen(prefix) : 0;
146         while (*src) {
147                 const char *p = prefix_path(prefix, prefixlen, *src);
148                 *(dst++) = p;
149                 src++;
150         }
151         *dst = NULL;
152         if (!*pathspec)
153                 return NULL;
154         return pathspec;
155 }
156
157 /*
158  * Test if it looks like we're at a git directory.
159  * We want to see:
160  *
161  *  - either an objects/ directory _or_ the proper
162  *    GIT_OBJECT_DIRECTORY environment variable
163  *  - a refs/ directory
164  *  - either a HEAD symlink or a HEAD file that is formatted as
165  *    a proper "ref:", or a regular file HEAD that has a properly
166  *    formatted sha1 object name.
167  */
168 static int is_git_directory(const char *suspect)
169 {
170         char path[PATH_MAX];
171         size_t len = strlen(suspect);
172
173         if (PATH_MAX <= len + strlen("/objects"))
174                 die("Too long path: %.*s", 60, suspect);
175         strcpy(path, suspect);
176         if (getenv(DB_ENVIRONMENT)) {
177                 if (access(getenv(DB_ENVIRONMENT), X_OK))
178                         return 0;
179         }
180         else {
181                 strcpy(path + len, "/objects");
182                 if (access(path, X_OK))
183                         return 0;
184         }
185
186         strcpy(path + len, "/refs");
187         if (access(path, X_OK))
188                 return 0;
189
190         strcpy(path + len, "/HEAD");
191         if (validate_headref(path))
192                 return 0;
193
194         return 1;
195 }
196
197 int is_inside_git_dir(void)
198 {
199         if (inside_git_dir < 0)
200                 inside_git_dir = is_inside_dir(get_git_dir());
201         return inside_git_dir;
202 }
203
204 int is_inside_work_tree(void)
205 {
206         if (inside_work_tree < 0)
207                 inside_work_tree = is_inside_dir(get_git_work_tree());
208         return inside_work_tree;
209 }
210
211 /*
212  * set_work_tree() is only ever called if you set GIT_DIR explicitly.
213  * The old behaviour (which we retain here) is to set the work tree root
214  * to the cwd, unless overridden by the config, the command line, or
215  * GIT_WORK_TREE.
216  */
217 static const char *set_work_tree(const char *dir)
218 {
219         char buffer[PATH_MAX + 1];
220
221         if (!getcwd(buffer, sizeof(buffer)))
222                 die ("Could not get the current working directory");
223         git_work_tree_cfg = xstrdup(buffer);
224         inside_work_tree = 1;
225
226         return NULL;
227 }
228
229 void setup_work_tree(void)
230 {
231         const char *work_tree, *git_dir;
232         static int initialized = 0;
233
234         if (initialized)
235                 return;
236         work_tree = get_git_work_tree();
237         git_dir = get_git_dir();
238         if (!is_absolute_path(git_dir))
239                 git_dir = make_absolute_path(git_dir);
240         if (!work_tree || chdir(work_tree))
241                 die("This operation must be run in a work tree");
242         set_git_dir(make_relative_path(git_dir, work_tree));
243         initialized = 1;
244 }
245
246 static int check_repository_format_gently(int *nongit_ok)
247 {
248         git_config(check_repository_format_version, NULL);
249         if (GIT_REPO_VERSION < repository_format_version) {
250                 if (!nongit_ok)
251                         die ("Expected git repo version <= %d, found %d",
252                              GIT_REPO_VERSION, repository_format_version);
253                 warning("Expected git repo version <= %d, found %d",
254                         GIT_REPO_VERSION, repository_format_version);
255                 warning("Please upgrade Git");
256                 *nongit_ok = -1;
257                 return -1;
258         }
259         return 0;
260 }
261
262 /*
263  * Try to read the location of the git directory from the .git file,
264  * return path to git directory if found.
265  */
266 const char *read_gitfile_gently(const char *path)
267 {
268         char *buf;
269         char *dir;
270         const char *slash;
271         struct stat st;
272         int fd;
273         size_t len;
274
275         if (stat(path, &st))
276                 return NULL;
277         if (!S_ISREG(st.st_mode))
278                 return NULL;
279         fd = open(path, O_RDONLY);
280         if (fd < 0)
281                 die_errno("Error opening '%s'", path);
282         buf = xmalloc(st.st_size + 1);
283         len = read_in_full(fd, buf, st.st_size);
284         close(fd);
285         if (len != st.st_size)
286                 die("Error reading %s", path);
287         buf[len] = '\0';
288         if (prefixcmp(buf, "gitdir: "))
289                 die("Invalid gitfile format: %s", path);
290         while (buf[len - 1] == '\n' || buf[len - 1] == '\r')
291                 len--;
292         if (len < 9)
293                 die("No path in gitfile: %s", path);
294         buf[len] = '\0';
295         dir = buf + 8;
296
297         if (!is_absolute_path(dir) && (slash = strrchr(path, '/'))) {
298                 size_t pathlen = slash+1 - path;
299                 size_t dirlen = pathlen + len - 8;
300                 dir = xmalloc(dirlen + 1);
301                 strncpy(dir, path, pathlen);
302                 strncpy(dir + pathlen, buf + 8, len - 8);
303                 dir[dirlen] = '\0';
304                 free(buf);
305                 buf = dir;
306         }
307
308         if (!is_git_directory(dir))
309                 die("Not a git repository: %s", dir);
310         path = make_absolute_path(dir);
311
312         free(buf);
313         return path;
314 }
315
316 /*
317  * We cannot decide in this function whether we are in the work tree or
318  * not, since the config can only be read _after_ this function was called.
319  */
320 const char *setup_git_directory_gently(int *nongit_ok)
321 {
322         const char *work_tree_env = getenv(GIT_WORK_TREE_ENVIRONMENT);
323         const char *env_ceiling_dirs = getenv(CEILING_DIRECTORIES_ENVIRONMENT);
324         static char cwd[PATH_MAX+1];
325         const char *gitdirenv;
326         const char *gitfile_dir;
327         int len, offset, ceil_offset, root_len;
328
329         /*
330          * Let's assume that we are in a git repository.
331          * If it turns out later that we are somewhere else, the value will be
332          * updated accordingly.
333          */
334         if (nongit_ok)
335                 *nongit_ok = 0;
336
337         /*
338          * If GIT_DIR is set explicitly, we're not going
339          * to do any discovery, but we still do repository
340          * validation.
341          */
342         gitdirenv = getenv(GIT_DIR_ENVIRONMENT);
343         if (gitdirenv) {
344                 if (PATH_MAX - 40 < strlen(gitdirenv))
345                         die("'$%s' too big", GIT_DIR_ENVIRONMENT);
346                 if (is_git_directory(gitdirenv)) {
347                         static char buffer[1024 + 1];
348                         const char *retval;
349
350                         if (!work_tree_env) {
351                                 retval = set_work_tree(gitdirenv);
352                                 /* config may override worktree */
353                                 if (check_repository_format_gently(nongit_ok))
354                                         return NULL;
355                                 return retval;
356                         }
357                         if (check_repository_format_gently(nongit_ok))
358                                 return NULL;
359                         retval = get_relative_cwd(buffer, sizeof(buffer) - 1,
360                                         get_git_work_tree());
361                         if (!retval || !*retval)
362                                 return NULL;
363                         set_git_dir(make_absolute_path(gitdirenv));
364                         if (chdir(work_tree_env) < 0)
365                                 die_errno ("Could not chdir to '%s'", work_tree_env);
366                         strcat(buffer, "/");
367                         return retval;
368                 }
369                 if (nongit_ok) {
370                         *nongit_ok = 1;
371                         return NULL;
372                 }
373                 die("Not a git repository: '%s'", gitdirenv);
374         }
375
376         if (!getcwd(cwd, sizeof(cwd)-1))
377                 die_errno("Unable to read current working directory");
378
379         ceil_offset = longest_ancestor_length(cwd, env_ceiling_dirs);
380         if (ceil_offset < 0 && has_dos_drive_prefix(cwd))
381                 ceil_offset = 1;
382
383         /*
384          * Test in the following order (relative to the cwd):
385          * - .git (file containing "gitdir: <path>")
386          * - .git/
387          * - ./ (bare)
388          * - ../.git
389          * - ../.git/
390          * - ../ (bare)
391          * - ../../.git/
392          *   etc.
393          */
394         offset = len = strlen(cwd);
395         for (;;) {
396                 gitfile_dir = read_gitfile_gently(DEFAULT_GIT_DIR_ENVIRONMENT);
397                 if (gitfile_dir) {
398                         if (set_git_dir(gitfile_dir))
399                                 die("Repository setup failed");
400                         break;
401                 }
402                 if (is_git_directory(DEFAULT_GIT_DIR_ENVIRONMENT))
403                         break;
404                 if (is_git_directory(".")) {
405                         inside_git_dir = 1;
406                         if (!work_tree_env)
407                                 inside_work_tree = 0;
408                         if (offset != len) {
409                                 root_len = offset_1st_component(cwd);
410                                 cwd[offset > root_len ? offset : root_len] = '\0';
411                                 set_git_dir(cwd);
412                         } else
413                                 set_git_dir(".");
414                         check_repository_format_gently(nongit_ok);
415                         return NULL;
416                 }
417                 while (--offset > ceil_offset && cwd[offset] != '/');
418                 if (offset <= ceil_offset) {
419                         if (nongit_ok) {
420                                 if (chdir(cwd))
421                                         die_errno("Cannot come back to cwd");
422                                 *nongit_ok = 1;
423                                 return NULL;
424                         }
425                         die("Not a git repository (or any of the parent directories): %s", DEFAULT_GIT_DIR_ENVIRONMENT);
426                 }
427                 if (chdir(".."))
428                         die_errno("Cannot change to '%s/..'", cwd);
429         }
430
431         inside_git_dir = 0;
432         if (!work_tree_env)
433                 inside_work_tree = 1;
434         root_len = offset_1st_component(cwd);
435         git_work_tree_cfg = xstrndup(cwd, offset > root_len ? offset : root_len);
436         if (check_repository_format_gently(nongit_ok))
437                 return NULL;
438         if (offset == len)
439                 return NULL;
440
441         /* Make "offset" point to past the '/', and add a '/' at the end */
442         offset++;
443         cwd[len++] = '/';
444         cwd[len] = 0;
445         return cwd + offset;
446 }
447
448 int git_config_perm(const char *var, const char *value)
449 {
450         int i;
451         char *endptr;
452
453         if (value == NULL)
454                 return PERM_GROUP;
455
456         if (!strcmp(value, "umask"))
457                 return PERM_UMASK;
458         if (!strcmp(value, "group"))
459                 return PERM_GROUP;
460         if (!strcmp(value, "all") ||
461             !strcmp(value, "world") ||
462             !strcmp(value, "everybody"))
463                 return PERM_EVERYBODY;
464
465         /* Parse octal numbers */
466         i = strtol(value, &endptr, 8);
467
468         /* If not an octal number, maybe true/false? */
469         if (*endptr != 0)
470                 return git_config_bool(var, value) ? PERM_GROUP : PERM_UMASK;
471
472         /*
473          * Treat values 0, 1 and 2 as compatibility cases, otherwise it is
474          * a chmod value to restrict to.
475          */
476         switch (i) {
477         case PERM_UMASK:               /* 0 */
478                 return PERM_UMASK;
479         case OLD_PERM_GROUP:           /* 1 */
480                 return PERM_GROUP;
481         case OLD_PERM_EVERYBODY:       /* 2 */
482                 return PERM_EVERYBODY;
483         }
484
485         /* A filemode value was given: 0xxx */
486
487         if ((i & 0600) != 0600)
488                 die("Problem with core.sharedRepository filemode value "
489                     "(0%.3o).\nThe owner of files must always have "
490                     "read and write permissions.", i);
491
492         /*
493          * Mask filemode value. Others can not get write permission.
494          * x flags for directories are handled separately.
495          */
496         return -(i & 0666);
497 }
498
499 int check_repository_format_version(const char *var, const char *value, void *cb)
500 {
501         if (strcmp(var, "core.repositoryformatversion") == 0)
502                 repository_format_version = git_config_int(var, value);
503         else if (strcmp(var, "core.sharedrepository") == 0)
504                 shared_repository = git_config_perm(var, value);
505         else if (strcmp(var, "core.bare") == 0) {
506                 is_bare_repository_cfg = git_config_bool(var, value);
507                 if (is_bare_repository_cfg == 1)
508                         inside_work_tree = -1;
509         } else if (strcmp(var, "core.worktree") == 0) {
510                 if (!value)
511                         return config_error_nonbool(var);
512                 free(git_work_tree_cfg);
513                 git_work_tree_cfg = xstrdup(value);
514                 inside_work_tree = -1;
515         }
516         return 0;
517 }
518
519 int check_repository_format(void)
520 {
521         return check_repository_format_gently(NULL);
522 }
523
524 /*
525  * Returns the "prefix", a path to the current working directory
526  * relative to the work tree root, or NULL, if the current working
527  * directory is not a strict subdirectory of the work tree root. The
528  * prefix always ends with a '/' character.
529  */
530 const char *setup_git_directory(void)
531 {
532         const char *retval = setup_git_directory_gently(NULL);
533
534         /* If the work tree is not the default one, recompute prefix */
535         if (inside_work_tree < 0) {
536                 static char buffer[PATH_MAX + 1];
537                 char *rel;
538                 if (retval && chdir(retval))
539                         die_errno ("Could not jump back into original cwd");
540                 rel = get_relative_cwd(buffer, PATH_MAX, get_git_work_tree());
541                 if (rel && *rel && chdir(get_git_work_tree()))
542                         die_errno ("Could not jump to working directory");
543                 return rel && *rel ? strcat(rel, "/") : NULL;
544         }
545
546         return retval;
547 }