Disallow dubiously-nested submodule git directories
[git] / path.c
1 /*
2  * Utilities for paths and pathnames
3  */
4 #include "cache.h"
5 #include "repository.h"
6 #include "strbuf.h"
7 #include "string-list.h"
8 #include "dir.h"
9 #include "worktree.h"
10 #include "submodule-config.h"
11 #include "path.h"
12
13 static int get_st_mode_bits(const char *path, int *mode)
14 {
15         struct stat st;
16         if (lstat(path, &st) < 0)
17                 return -1;
18         *mode = st.st_mode;
19         return 0;
20 }
21
22 static char bad_path[] = "/bad-path/";
23
24 static struct strbuf *get_pathname(void)
25 {
26         static struct strbuf pathname_array[4] = {
27                 STRBUF_INIT, STRBUF_INIT, STRBUF_INIT, STRBUF_INIT
28         };
29         static int index;
30         struct strbuf *sb = &pathname_array[index];
31         index = (index + 1) % ARRAY_SIZE(pathname_array);
32         strbuf_reset(sb);
33         return sb;
34 }
35
36 static const char *cleanup_path(const char *path)
37 {
38         /* Clean it up */
39         if (skip_prefix(path, "./", &path)) {
40                 while (*path == '/')
41                         path++;
42         }
43         return path;
44 }
45
46 static void strbuf_cleanup_path(struct strbuf *sb)
47 {
48         const char *path = cleanup_path(sb->buf);
49         if (path > sb->buf)
50                 strbuf_remove(sb, 0, path - sb->buf);
51 }
52
53 char *mksnpath(char *buf, size_t n, const char *fmt, ...)
54 {
55         va_list args;
56         unsigned len;
57
58         va_start(args, fmt);
59         len = vsnprintf(buf, n, fmt, args);
60         va_end(args);
61         if (len >= n) {
62                 strlcpy(buf, bad_path, n);
63                 return buf;
64         }
65         return (char *)cleanup_path(buf);
66 }
67
68 static int dir_prefix(const char *buf, const char *dir)
69 {
70         int len = strlen(dir);
71         return !strncmp(buf, dir, len) &&
72                 (is_dir_sep(buf[len]) || buf[len] == '\0');
73 }
74
75 /* $buf =~ m|$dir/+$file| but without regex */
76 static int is_dir_file(const char *buf, const char *dir, const char *file)
77 {
78         int len = strlen(dir);
79         if (strncmp(buf, dir, len) || !is_dir_sep(buf[len]))
80                 return 0;
81         while (is_dir_sep(buf[len]))
82                 len++;
83         return !strcmp(buf + len, file);
84 }
85
86 static void replace_dir(struct strbuf *buf, int len, const char *newdir)
87 {
88         int newlen = strlen(newdir);
89         int need_sep = (buf->buf[len] && !is_dir_sep(buf->buf[len])) &&
90                 !is_dir_sep(newdir[newlen - 1]);
91         if (need_sep)
92                 len--;   /* keep one char, to be replaced with '/'  */
93         strbuf_splice(buf, 0, len, newdir, newlen);
94         if (need_sep)
95                 buf->buf[newlen] = '/';
96 }
97
98 struct common_dir {
99         /* Not considered garbage for report_linked_checkout_garbage */
100         unsigned ignore_garbage:1;
101         unsigned is_dir:1;
102         /* Not common even though its parent is */
103         unsigned exclude:1;
104         const char *dirname;
105 };
106
107 static struct common_dir common_list[] = {
108         { 0, 1, 0, "branches" },
109         { 0, 1, 0, "hooks" },
110         { 0, 1, 0, "info" },
111         { 0, 0, 1, "info/sparse-checkout" },
112         { 1, 1, 0, "logs" },
113         { 1, 1, 1, "logs/HEAD" },
114         { 0, 1, 1, "logs/refs/bisect" },
115         { 0, 1, 0, "lost-found" },
116         { 0, 1, 0, "objects" },
117         { 0, 1, 0, "refs" },
118         { 0, 1, 1, "refs/bisect" },
119         { 0, 1, 0, "remotes" },
120         { 0, 1, 0, "worktrees" },
121         { 0, 1, 0, "rr-cache" },
122         { 0, 1, 0, "svn" },
123         { 0, 0, 0, "config" },
124         { 1, 0, 0, "gc.pid" },
125         { 0, 0, 0, "packed-refs" },
126         { 0, 0, 0, "shallow" },
127         { 0, 0, 0, NULL }
128 };
129
130 /*
131  * A compressed trie.  A trie node consists of zero or more characters that
132  * are common to all elements with this prefix, optionally followed by some
133  * children.  If value is not NULL, the trie node is a terminal node.
134  *
135  * For example, consider the following set of strings:
136  * abc
137  * def
138  * definite
139  * definition
140  *
141  * The trie would look like:
142  * root: len = 0, children a and d non-NULL, value = NULL.
143  *    a: len = 2, contents = bc, value = (data for "abc")
144  *    d: len = 2, contents = ef, children i non-NULL, value = (data for "def")
145  *       i: len = 3, contents = nit, children e and i non-NULL, value = NULL
146  *           e: len = 0, children all NULL, value = (data for "definite")
147  *           i: len = 2, contents = on, children all NULL,
148  *              value = (data for "definition")
149  */
150 struct trie {
151         struct trie *children[256];
152         int len;
153         char *contents;
154         void *value;
155 };
156
157 static struct trie *make_trie_node(const char *key, void *value)
158 {
159         struct trie *new_node = xcalloc(1, sizeof(*new_node));
160         new_node->len = strlen(key);
161         if (new_node->len) {
162                 new_node->contents = xmalloc(new_node->len);
163                 memcpy(new_node->contents, key, new_node->len);
164         }
165         new_node->value = value;
166         return new_node;
167 }
168
169 /*
170  * Add a key/value pair to a trie.  The key is assumed to be \0-terminated.
171  * If there was an existing value for this key, return it.
172  */
173 static void *add_to_trie(struct trie *root, const char *key, void *value)
174 {
175         struct trie *child;
176         void *old;
177         int i;
178
179         if (!*key) {
180                 /* we have reached the end of the key */
181                 old = root->value;
182                 root->value = value;
183                 return old;
184         }
185
186         for (i = 0; i < root->len; i++) {
187                 if (root->contents[i] == key[i])
188                         continue;
189
190                 /*
191                  * Split this node: child will contain this node's
192                  * existing children.
193                  */
194                 child = malloc(sizeof(*child));
195                 memcpy(child->children, root->children, sizeof(root->children));
196
197                 child->len = root->len - i - 1;
198                 if (child->len) {
199                         child->contents = xstrndup(root->contents + i + 1,
200                                                    child->len);
201                 }
202                 child->value = root->value;
203                 root->value = NULL;
204                 root->len = i;
205
206                 memset(root->children, 0, sizeof(root->children));
207                 root->children[(unsigned char)root->contents[i]] = child;
208
209                 /* This is the newly-added child. */
210                 root->children[(unsigned char)key[i]] =
211                         make_trie_node(key + i + 1, value);
212                 return NULL;
213         }
214
215         /* We have matched the entire compressed section */
216         if (key[i]) {
217                 child = root->children[(unsigned char)key[root->len]];
218                 if (child) {
219                         return add_to_trie(child, key + root->len + 1, value);
220                 } else {
221                         child = make_trie_node(key + root->len + 1, value);
222                         root->children[(unsigned char)key[root->len]] = child;
223                         return NULL;
224                 }
225         }
226
227         old = root->value;
228         root->value = value;
229         return old;
230 }
231
232 typedef int (*match_fn)(const char *unmatched, void *data, void *baton);
233
234 /*
235  * Search a trie for some key.  Find the longest /-or-\0-terminated
236  * prefix of the key for which the trie contains a value.  Call fn
237  * with the unmatched portion of the key and the found value, and
238  * return its return value.  If there is no such prefix, return -1.
239  *
240  * The key is partially normalized: consecutive slashes are skipped.
241  *
242  * For example, consider the trie containing only [refs,
243  * refs/worktree] (both with values).
244  *
245  * | key             | unmatched  | val from node | return value |
246  * |-----------------|------------|---------------|--------------|
247  * | a               | not called | n/a           | -1           |
248  * | refs            | \0         | refs          | as per fn    |
249  * | refs/           | /          | refs          | as per fn    |
250  * | refs/w          | /w         | refs          | as per fn    |
251  * | refs/worktree   | \0         | refs/worktree | as per fn    |
252  * | refs/worktree/  | /          | refs/worktree | as per fn    |
253  * | refs/worktree/a | /a         | refs/worktree | as per fn    |
254  * |-----------------|------------|---------------|--------------|
255  *
256  */
257 static int trie_find(struct trie *root, const char *key, match_fn fn,
258                      void *baton)
259 {
260         int i;
261         int result;
262         struct trie *child;
263
264         if (!*key) {
265                 /* we have reached the end of the key */
266                 if (root->value && !root->len)
267                         return fn(key, root->value, baton);
268                 else
269                         return -1;
270         }
271
272         for (i = 0; i < root->len; i++) {
273                 /* Partial path normalization: skip consecutive slashes. */
274                 if (key[i] == '/' && key[i+1] == '/') {
275                         key++;
276                         continue;
277                 }
278                 if (root->contents[i] != key[i])
279                         return -1;
280         }
281
282         /* Matched the entire compressed section */
283         key += i;
284         if (!*key)
285                 /* End of key */
286                 return fn(key, root->value, baton);
287
288         /* Partial path normalization: skip consecutive slashes */
289         while (key[0] == '/' && key[1] == '/')
290                 key++;
291
292         child = root->children[(unsigned char)*key];
293         if (child)
294                 result = trie_find(child, key + 1, fn, baton);
295         else
296                 result = -1;
297
298         if (result >= 0 || (*key != '/' && *key != 0))
299                 return result;
300         if (root->value)
301                 return fn(key, root->value, baton);
302         else
303                 return -1;
304 }
305
306 static struct trie common_trie;
307 static int common_trie_done_setup;
308
309 static void init_common_trie(void)
310 {
311         struct common_dir *p;
312
313         if (common_trie_done_setup)
314                 return;
315
316         for (p = common_list; p->dirname; p++)
317                 add_to_trie(&common_trie, p->dirname, p);
318
319         common_trie_done_setup = 1;
320 }
321
322 /*
323  * Helper function for update_common_dir: returns 1 if the dir
324  * prefix is common.
325  */
326 static int check_common(const char *unmatched, void *value, void *baton)
327 {
328         struct common_dir *dir = value;
329
330         if (!dir)
331                 return 0;
332
333         if (dir->is_dir && (unmatched[0] == 0 || unmatched[0] == '/'))
334                 return !dir->exclude;
335
336         if (!dir->is_dir && unmatched[0] == 0)
337                 return !dir->exclude;
338
339         return 0;
340 }
341
342 static void update_common_dir(struct strbuf *buf, int git_dir_len,
343                               const char *common_dir)
344 {
345         char *base = buf->buf + git_dir_len;
346         init_common_trie();
347         if (trie_find(&common_trie, base, check_common, NULL) > 0)
348                 replace_dir(buf, git_dir_len, common_dir);
349 }
350
351 void report_linked_checkout_garbage(void)
352 {
353         struct strbuf sb = STRBUF_INIT;
354         const struct common_dir *p;
355         int len;
356
357         if (!the_repository->different_commondir)
358                 return;
359         strbuf_addf(&sb, "%s/", get_git_dir());
360         len = sb.len;
361         for (p = common_list; p->dirname; p++) {
362                 const char *path = p->dirname;
363                 if (p->ignore_garbage)
364                         continue;
365                 strbuf_setlen(&sb, len);
366                 strbuf_addstr(&sb, path);
367                 if (file_exists(sb.buf))
368                         report_garbage(PACKDIR_FILE_GARBAGE, sb.buf);
369         }
370         strbuf_release(&sb);
371 }
372
373 static void adjust_git_path(const struct repository *repo,
374                             struct strbuf *buf, int git_dir_len)
375 {
376         const char *base = buf->buf + git_dir_len;
377         if (is_dir_file(base, "info", "grafts"))
378                 strbuf_splice(buf, 0, buf->len,
379                               repo->graft_file, strlen(repo->graft_file));
380         else if (!strcmp(base, "index"))
381                 strbuf_splice(buf, 0, buf->len,
382                               repo->index_file, strlen(repo->index_file));
383         else if (dir_prefix(base, "objects"))
384                 replace_dir(buf, git_dir_len + 7, repo->objectdir);
385         else if (git_hooks_path && dir_prefix(base, "hooks"))
386                 replace_dir(buf, git_dir_len + 5, git_hooks_path);
387         else if (repo->different_commondir)
388                 update_common_dir(buf, git_dir_len, repo->commondir);
389 }
390
391 static void strbuf_worktree_gitdir(struct strbuf *buf,
392                                    const struct repository *repo,
393                                    const struct worktree *wt)
394 {
395         if (!wt)
396                 strbuf_addstr(buf, repo->gitdir);
397         else if (!wt->id)
398                 strbuf_addstr(buf, repo->commondir);
399         else
400                 strbuf_git_common_path(buf, repo, "worktrees/%s", wt->id);
401 }
402
403 static void do_git_path(const struct repository *repo,
404                         const struct worktree *wt, struct strbuf *buf,
405                         const char *fmt, va_list args)
406 {
407         int gitdir_len;
408         strbuf_worktree_gitdir(buf, repo, wt);
409         if (buf->len && !is_dir_sep(buf->buf[buf->len - 1]))
410                 strbuf_addch(buf, '/');
411         gitdir_len = buf->len;
412         strbuf_vaddf(buf, fmt, args);
413         if (!wt)
414                 adjust_git_path(repo, buf, gitdir_len);
415         strbuf_cleanup_path(buf);
416 }
417
418 char *repo_git_path(const struct repository *repo,
419                     const char *fmt, ...)
420 {
421         struct strbuf path = STRBUF_INIT;
422         va_list args;
423         va_start(args, fmt);
424         do_git_path(repo, NULL, &path, fmt, args);
425         va_end(args);
426         return strbuf_detach(&path, NULL);
427 }
428
429 void strbuf_repo_git_path(struct strbuf *sb,
430                           const struct repository *repo,
431                           const char *fmt, ...)
432 {
433         va_list args;
434         va_start(args, fmt);
435         do_git_path(repo, NULL, sb, fmt, args);
436         va_end(args);
437 }
438
439 char *git_path_buf(struct strbuf *buf, const char *fmt, ...)
440 {
441         va_list args;
442         strbuf_reset(buf);
443         va_start(args, fmt);
444         do_git_path(the_repository, NULL, buf, fmt, args);
445         va_end(args);
446         return buf->buf;
447 }
448
449 void strbuf_git_path(struct strbuf *sb, const char *fmt, ...)
450 {
451         va_list args;
452         va_start(args, fmt);
453         do_git_path(the_repository, NULL, sb, fmt, args);
454         va_end(args);
455 }
456
457 const char *git_path(const char *fmt, ...)
458 {
459         struct strbuf *pathname = get_pathname();
460         va_list args;
461         va_start(args, fmt);
462         do_git_path(the_repository, NULL, pathname, fmt, args);
463         va_end(args);
464         return pathname->buf;
465 }
466
467 char *git_pathdup(const char *fmt, ...)
468 {
469         struct strbuf path = STRBUF_INIT;
470         va_list args;
471         va_start(args, fmt);
472         do_git_path(the_repository, NULL, &path, fmt, args);
473         va_end(args);
474         return strbuf_detach(&path, NULL);
475 }
476
477 char *mkpathdup(const char *fmt, ...)
478 {
479         struct strbuf sb = STRBUF_INIT;
480         va_list args;
481         va_start(args, fmt);
482         strbuf_vaddf(&sb, fmt, args);
483         va_end(args);
484         strbuf_cleanup_path(&sb);
485         return strbuf_detach(&sb, NULL);
486 }
487
488 const char *mkpath(const char *fmt, ...)
489 {
490         va_list args;
491         struct strbuf *pathname = get_pathname();
492         va_start(args, fmt);
493         strbuf_vaddf(pathname, fmt, args);
494         va_end(args);
495         return cleanup_path(pathname->buf);
496 }
497
498 const char *worktree_git_path(const struct worktree *wt, const char *fmt, ...)
499 {
500         struct strbuf *pathname = get_pathname();
501         va_list args;
502         va_start(args, fmt);
503         do_git_path(the_repository, wt, pathname, fmt, args);
504         va_end(args);
505         return pathname->buf;
506 }
507
508 static void do_worktree_path(const struct repository *repo,
509                              struct strbuf *buf,
510                              const char *fmt, va_list args)
511 {
512         strbuf_addstr(buf, repo->worktree);
513         if(buf->len && !is_dir_sep(buf->buf[buf->len - 1]))
514                 strbuf_addch(buf, '/');
515
516         strbuf_vaddf(buf, fmt, args);
517         strbuf_cleanup_path(buf);
518 }
519
520 char *repo_worktree_path(const struct repository *repo, const char *fmt, ...)
521 {
522         struct strbuf path = STRBUF_INIT;
523         va_list args;
524
525         if (!repo->worktree)
526                 return NULL;
527
528         va_start(args, fmt);
529         do_worktree_path(repo, &path, fmt, args);
530         va_end(args);
531
532         return strbuf_detach(&path, NULL);
533 }
534
535 void strbuf_repo_worktree_path(struct strbuf *sb,
536                                const struct repository *repo,
537                                const char *fmt, ...)
538 {
539         va_list args;
540
541         if (!repo->worktree)
542                 return;
543
544         va_start(args, fmt);
545         do_worktree_path(repo, sb, fmt, args);
546         va_end(args);
547 }
548
549 /* Returns 0 on success, negative on failure. */
550 static int do_submodule_path(struct strbuf *buf, const char *path,
551                              const char *fmt, va_list args)
552 {
553         struct strbuf git_submodule_common_dir = STRBUF_INIT;
554         struct strbuf git_submodule_dir = STRBUF_INIT;
555         int ret;
556
557         ret = submodule_to_gitdir(&git_submodule_dir, path);
558         if (ret)
559                 goto cleanup;
560
561         strbuf_complete(&git_submodule_dir, '/');
562         strbuf_addbuf(buf, &git_submodule_dir);
563         strbuf_vaddf(buf, fmt, args);
564
565         if (get_common_dir_noenv(&git_submodule_common_dir, git_submodule_dir.buf))
566                 update_common_dir(buf, git_submodule_dir.len, git_submodule_common_dir.buf);
567
568         strbuf_cleanup_path(buf);
569
570 cleanup:
571         strbuf_release(&git_submodule_dir);
572         strbuf_release(&git_submodule_common_dir);
573         return ret;
574 }
575
576 char *git_pathdup_submodule(const char *path, const char *fmt, ...)
577 {
578         int err;
579         va_list args;
580         struct strbuf buf = STRBUF_INIT;
581         va_start(args, fmt);
582         err = do_submodule_path(&buf, path, fmt, args);
583         va_end(args);
584         if (err) {
585                 strbuf_release(&buf);
586                 return NULL;
587         }
588         return strbuf_detach(&buf, NULL);
589 }
590
591 int strbuf_git_path_submodule(struct strbuf *buf, const char *path,
592                               const char *fmt, ...)
593 {
594         int err;
595         va_list args;
596         va_start(args, fmt);
597         err = do_submodule_path(buf, path, fmt, args);
598         va_end(args);
599
600         return err;
601 }
602
603 static void do_git_common_path(const struct repository *repo,
604                                struct strbuf *buf,
605                                const char *fmt,
606                                va_list args)
607 {
608         strbuf_addstr(buf, repo->commondir);
609         if (buf->len && !is_dir_sep(buf->buf[buf->len - 1]))
610                 strbuf_addch(buf, '/');
611         strbuf_vaddf(buf, fmt, args);
612         strbuf_cleanup_path(buf);
613 }
614
615 const char *git_common_path(const char *fmt, ...)
616 {
617         struct strbuf *pathname = get_pathname();
618         va_list args;
619         va_start(args, fmt);
620         do_git_common_path(the_repository, pathname, fmt, args);
621         va_end(args);
622         return pathname->buf;
623 }
624
625 void strbuf_git_common_path(struct strbuf *sb,
626                             const struct repository *repo,
627                             const char *fmt, ...)
628 {
629         va_list args;
630         va_start(args, fmt);
631         do_git_common_path(repo, sb, fmt, args);
632         va_end(args);
633 }
634
635 int validate_headref(const char *path)
636 {
637         struct stat st;
638         char buffer[256];
639         const char *refname;
640         struct object_id oid;
641         int fd;
642         ssize_t len;
643
644         if (lstat(path, &st) < 0)
645                 return -1;
646
647         /* Make sure it is a "refs/.." symlink */
648         if (S_ISLNK(st.st_mode)) {
649                 len = readlink(path, buffer, sizeof(buffer)-1);
650                 if (len >= 5 && !memcmp("refs/", buffer, 5))
651                         return 0;
652                 return -1;
653         }
654
655         /*
656          * Anything else, just open it and try to see if it is a symbolic ref.
657          */
658         fd = open(path, O_RDONLY);
659         if (fd < 0)
660                 return -1;
661         len = read_in_full(fd, buffer, sizeof(buffer)-1);
662         close(fd);
663
664         if (len < 0)
665                 return -1;
666         buffer[len] = '\0';
667
668         /*
669          * Is it a symbolic ref?
670          */
671         if (skip_prefix(buffer, "ref:", &refname)) {
672                 while (isspace(*refname))
673                         refname++;
674                 if (starts_with(refname, "refs/"))
675                         return 0;
676         }
677
678         /*
679          * Is this a detached HEAD?
680          */
681         if (!get_oid_hex(buffer, &oid))
682                 return 0;
683
684         return -1;
685 }
686
687 static struct passwd *getpw_str(const char *username, size_t len)
688 {
689         struct passwd *pw;
690         char *username_z = xmemdupz(username, len);
691         pw = getpwnam(username_z);
692         free(username_z);
693         return pw;
694 }
695
696 /*
697  * Return a string with ~ and ~user expanded via getpw*.  If buf != NULL,
698  * then it is a newly allocated string. Returns NULL on getpw failure or
699  * if path is NULL.
700  *
701  * If real_home is true, real_path($HOME) is used in the expansion.
702  */
703 char *expand_user_path(const char *path, int real_home)
704 {
705         struct strbuf user_path = STRBUF_INIT;
706         const char *to_copy = path;
707
708         if (path == NULL)
709                 goto return_null;
710         if (path[0] == '~') {
711                 const char *first_slash = strchrnul(path, '/');
712                 const char *username = path + 1;
713                 size_t username_len = first_slash - username;
714                 if (username_len == 0) {
715                         const char *home = getenv("HOME");
716                         if (!home)
717                                 goto return_null;
718                         if (real_home)
719                                 strbuf_addstr(&user_path, real_path(home));
720                         else
721                                 strbuf_addstr(&user_path, home);
722 #ifdef GIT_WINDOWS_NATIVE
723                         convert_slashes(user_path.buf);
724 #endif
725                 } else {
726                         struct passwd *pw = getpw_str(username, username_len);
727                         if (!pw)
728                                 goto return_null;
729                         strbuf_addstr(&user_path, pw->pw_dir);
730                 }
731                 to_copy = first_slash;
732         }
733         strbuf_addstr(&user_path, to_copy);
734         return strbuf_detach(&user_path, NULL);
735 return_null:
736         strbuf_release(&user_path);
737         return NULL;
738 }
739
740 /*
741  * First, one directory to try is determined by the following algorithm.
742  *
743  * (0) If "strict" is given, the path is used as given and no DWIM is
744  *     done. Otherwise:
745  * (1) "~/path" to mean path under the running user's home directory;
746  * (2) "~user/path" to mean path under named user's home directory;
747  * (3) "relative/path" to mean cwd relative directory; or
748  * (4) "/absolute/path" to mean absolute directory.
749  *
750  * Unless "strict" is given, we check "%s/.git", "%s", "%s.git/.git", "%s.git"
751  * in this order. We select the first one that is a valid git repository, and
752  * chdir() to it. If none match, or we fail to chdir, we return NULL.
753  *
754  * If all goes well, we return the directory we used to chdir() (but
755  * before ~user is expanded), avoiding getcwd() resolving symbolic
756  * links.  User relative paths are also returned as they are given,
757  * except DWIM suffixing.
758  */
759 const char *enter_repo(const char *path, int strict)
760 {
761         static struct strbuf validated_path = STRBUF_INIT;
762         static struct strbuf used_path = STRBUF_INIT;
763
764         if (!path)
765                 return NULL;
766
767         if (!strict) {
768                 static const char *suffix[] = {
769                         "/.git", "", ".git/.git", ".git", NULL,
770                 };
771                 const char *gitfile;
772                 int len = strlen(path);
773                 int i;
774                 while ((1 < len) && (path[len-1] == '/'))
775                         len--;
776
777                 /*
778                  * We can handle arbitrary-sized buffers, but this remains as a
779                  * sanity check on untrusted input.
780                  */
781                 if (PATH_MAX <= len)
782                         return NULL;
783
784                 strbuf_reset(&used_path);
785                 strbuf_reset(&validated_path);
786                 strbuf_add(&used_path, path, len);
787                 strbuf_add(&validated_path, path, len);
788
789                 if (used_path.buf[0] == '~') {
790                         char *newpath = expand_user_path(used_path.buf, 0);
791                         if (!newpath)
792                                 return NULL;
793                         strbuf_attach(&used_path, newpath, strlen(newpath),
794                                       strlen(newpath));
795                 }
796                 for (i = 0; suffix[i]; i++) {
797                         struct stat st;
798                         size_t baselen = used_path.len;
799                         strbuf_addstr(&used_path, suffix[i]);
800                         if (!stat(used_path.buf, &st) &&
801                             (S_ISREG(st.st_mode) ||
802                             (S_ISDIR(st.st_mode) && is_git_directory(used_path.buf)))) {
803                                 strbuf_addstr(&validated_path, suffix[i]);
804                                 break;
805                         }
806                         strbuf_setlen(&used_path, baselen);
807                 }
808                 if (!suffix[i])
809                         return NULL;
810                 gitfile = read_gitfile(used_path.buf);
811                 if (gitfile) {
812                         strbuf_reset(&used_path);
813                         strbuf_addstr(&used_path, gitfile);
814                 }
815                 if (chdir(used_path.buf))
816                         return NULL;
817                 path = validated_path.buf;
818         }
819         else {
820                 const char *gitfile = read_gitfile(path);
821                 if (gitfile)
822                         path = gitfile;
823                 if (chdir(path))
824                         return NULL;
825         }
826
827         if (is_git_directory(".")) {
828                 set_git_dir(".");
829                 check_repository_format();
830                 return path;
831         }
832
833         return NULL;
834 }
835
836 static int calc_shared_perm(int mode)
837 {
838         int tweak;
839
840         if (get_shared_repository() < 0)
841                 tweak = -get_shared_repository();
842         else
843                 tweak = get_shared_repository();
844
845         if (!(mode & S_IWUSR))
846                 tweak &= ~0222;
847         if (mode & S_IXUSR)
848                 /* Copy read bits to execute bits */
849                 tweak |= (tweak & 0444) >> 2;
850         if (get_shared_repository() < 0)
851                 mode = (mode & ~0777) | tweak;
852         else
853                 mode |= tweak;
854
855         return mode;
856 }
857
858
859 int adjust_shared_perm(const char *path)
860 {
861         int old_mode, new_mode;
862
863         if (!get_shared_repository())
864                 return 0;
865         if (get_st_mode_bits(path, &old_mode) < 0)
866                 return -1;
867
868         new_mode = calc_shared_perm(old_mode);
869         if (S_ISDIR(old_mode)) {
870                 /* Copy read bits to execute bits */
871                 new_mode |= (new_mode & 0444) >> 2;
872                 new_mode |= FORCE_DIR_SET_GID;
873         }
874
875         if (((old_mode ^ new_mode) & ~S_IFMT) &&
876                         chmod(path, (new_mode & ~S_IFMT)) < 0)
877                 return -2;
878         return 0;
879 }
880
881 void safe_create_dir(const char *dir, int share)
882 {
883         if (mkdir(dir, 0777) < 0) {
884                 if (errno != EEXIST) {
885                         perror(dir);
886                         exit(1);
887                 }
888         }
889         else if (share && adjust_shared_perm(dir))
890                 die(_("Could not make %s writable by group"), dir);
891 }
892
893 static int have_same_root(const char *path1, const char *path2)
894 {
895         int is_abs1, is_abs2;
896
897         is_abs1 = is_absolute_path(path1);
898         is_abs2 = is_absolute_path(path2);
899         return (is_abs1 && is_abs2 && tolower(path1[0]) == tolower(path2[0])) ||
900                (!is_abs1 && !is_abs2);
901 }
902
903 /*
904  * Give path as relative to prefix.
905  *
906  * The strbuf may or may not be used, so do not assume it contains the
907  * returned path.
908  */
909 const char *relative_path(const char *in, const char *prefix,
910                           struct strbuf *sb)
911 {
912         int in_len = in ? strlen(in) : 0;
913         int prefix_len = prefix ? strlen(prefix) : 0;
914         int in_off = 0;
915         int prefix_off = 0;
916         int i = 0, j = 0;
917
918         if (!in_len)
919                 return "./";
920         else if (!prefix_len)
921                 return in;
922
923         if (have_same_root(in, prefix))
924                 /* bypass dos_drive, for "c:" is identical to "C:" */
925                 i = j = has_dos_drive_prefix(in);
926         else {
927                 return in;
928         }
929
930         while (i < prefix_len && j < in_len && prefix[i] == in[j]) {
931                 if (is_dir_sep(prefix[i])) {
932                         while (is_dir_sep(prefix[i]))
933                                 i++;
934                         while (is_dir_sep(in[j]))
935                                 j++;
936                         prefix_off = i;
937                         in_off = j;
938                 } else {
939                         i++;
940                         j++;
941                 }
942         }
943
944         if (
945             /* "prefix" seems like prefix of "in" */
946             i >= prefix_len &&
947             /*
948              * but "/foo" is not a prefix of "/foobar"
949              * (i.e. prefix not end with '/')
950              */
951             prefix_off < prefix_len) {
952                 if (j >= in_len) {
953                         /* in="/a/b", prefix="/a/b" */
954                         in_off = in_len;
955                 } else if (is_dir_sep(in[j])) {
956                         /* in="/a/b/c", prefix="/a/b" */
957                         while (is_dir_sep(in[j]))
958                                 j++;
959                         in_off = j;
960                 } else {
961                         /* in="/a/bbb/c", prefix="/a/b" */
962                         i = prefix_off;
963                 }
964         } else if (
965                    /* "in" is short than "prefix" */
966                    j >= in_len &&
967                    /* "in" not end with '/' */
968                    in_off < in_len) {
969                 if (is_dir_sep(prefix[i])) {
970                         /* in="/a/b", prefix="/a/b/c/" */
971                         while (is_dir_sep(prefix[i]))
972                                 i++;
973                         in_off = in_len;
974                 }
975         }
976         in += in_off;
977         in_len -= in_off;
978
979         if (i >= prefix_len) {
980                 if (!in_len)
981                         return "./";
982                 else
983                         return in;
984         }
985
986         strbuf_reset(sb);
987         strbuf_grow(sb, in_len);
988
989         while (i < prefix_len) {
990                 if (is_dir_sep(prefix[i])) {
991                         strbuf_addstr(sb, "../");
992                         while (is_dir_sep(prefix[i]))
993                                 i++;
994                         continue;
995                 }
996                 i++;
997         }
998         if (!is_dir_sep(prefix[prefix_len - 1]))
999                 strbuf_addstr(sb, "../");
1000
1001         strbuf_addstr(sb, in);
1002
1003         return sb->buf;
1004 }
1005
1006 /*
1007  * A simpler implementation of relative_path
1008  *
1009  * Get relative path by removing "prefix" from "in". This function
1010  * first appears in v1.5.6-1-g044bbbc, and makes git_dir shorter
1011  * to increase performance when traversing the path to work_tree.
1012  */
1013 const char *remove_leading_path(const char *in, const char *prefix)
1014 {
1015         static struct strbuf buf = STRBUF_INIT;
1016         int i = 0, j = 0;
1017
1018         if (!prefix || !prefix[0])
1019                 return in;
1020         while (prefix[i]) {
1021                 if (is_dir_sep(prefix[i])) {
1022                         if (!is_dir_sep(in[j]))
1023                                 return in;
1024                         while (is_dir_sep(prefix[i]))
1025                                 i++;
1026                         while (is_dir_sep(in[j]))
1027                                 j++;
1028                         continue;
1029                 } else if (in[j] != prefix[i]) {
1030                         return in;
1031                 }
1032                 i++;
1033                 j++;
1034         }
1035         if (
1036             /* "/foo" is a prefix of "/foo" */
1037             in[j] &&
1038             /* "/foo" is not a prefix of "/foobar" */
1039             !is_dir_sep(prefix[i-1]) && !is_dir_sep(in[j])
1040            )
1041                 return in;
1042         while (is_dir_sep(in[j]))
1043                 j++;
1044
1045         strbuf_reset(&buf);
1046         if (!in[j])
1047                 strbuf_addstr(&buf, ".");
1048         else
1049                 strbuf_addstr(&buf, in + j);
1050         return buf.buf;
1051 }
1052
1053 /*
1054  * It is okay if dst == src, but they should not overlap otherwise.
1055  *
1056  * Performs the following normalizations on src, storing the result in dst:
1057  * - Ensures that components are separated by '/' (Windows only)
1058  * - Squashes sequences of '/' except "//server/share" on Windows
1059  * - Removes "." components.
1060  * - Removes ".." components, and the components the precede them.
1061  * Returns failure (non-zero) if a ".." component appears as first path
1062  * component anytime during the normalization. Otherwise, returns success (0).
1063  *
1064  * Note that this function is purely textual.  It does not follow symlinks,
1065  * verify the existence of the path, or make any system calls.
1066  *
1067  * prefix_len != NULL is for a specific case of prefix_pathspec():
1068  * assume that src == dst and src[0..prefix_len-1] is already
1069  * normalized, any time "../" eats up to the prefix_len part,
1070  * prefix_len is reduced. In the end prefix_len is the remaining
1071  * prefix that has not been overridden by user pathspec.
1072  *
1073  * NEEDSWORK: This function doesn't perform normalization w.r.t. trailing '/'.
1074  * For everything but the root folder itself, the normalized path should not
1075  * end with a '/', then the callers need to be fixed up accordingly.
1076  *
1077  */
1078 int normalize_path_copy_len(char *dst, const char *src, int *prefix_len)
1079 {
1080         char *dst0;
1081         const char *end;
1082
1083         /*
1084          * Copy initial part of absolute path: "/", "C:/", "//server/share/".
1085          */
1086         end = src + offset_1st_component(src);
1087         while (src < end) {
1088                 char c = *src++;
1089                 if (is_dir_sep(c))
1090                         c = '/';
1091                 *dst++ = c;
1092         }
1093         dst0 = dst;
1094
1095         while (is_dir_sep(*src))
1096                 src++;
1097
1098         for (;;) {
1099                 char c = *src;
1100
1101                 /*
1102                  * A path component that begins with . could be
1103                  * special:
1104                  * (1) "." and ends   -- ignore and terminate.
1105                  * (2) "./"           -- ignore them, eat slash and continue.
1106                  * (3) ".." and ends  -- strip one and terminate.
1107                  * (4) "../"          -- strip one, eat slash and continue.
1108                  */
1109                 if (c == '.') {
1110                         if (!src[1]) {
1111                                 /* (1) */
1112                                 src++;
1113                         } else if (is_dir_sep(src[1])) {
1114                                 /* (2) */
1115                                 src += 2;
1116                                 while (is_dir_sep(*src))
1117                                         src++;
1118                                 continue;
1119                         } else if (src[1] == '.') {
1120                                 if (!src[2]) {
1121                                         /* (3) */
1122                                         src += 2;
1123                                         goto up_one;
1124                                 } else if (is_dir_sep(src[2])) {
1125                                         /* (4) */
1126                                         src += 3;
1127                                         while (is_dir_sep(*src))
1128                                                 src++;
1129                                         goto up_one;
1130                                 }
1131                         }
1132                 }
1133
1134                 /* copy up to the next '/', and eat all '/' */
1135                 while ((c = *src++) != '\0' && !is_dir_sep(c))
1136                         *dst++ = c;
1137                 if (is_dir_sep(c)) {
1138                         *dst++ = '/';
1139                         while (is_dir_sep(c))
1140                                 c = *src++;
1141                         src--;
1142                 } else if (!c)
1143                         break;
1144                 continue;
1145
1146         up_one:
1147                 /*
1148                  * dst0..dst is prefix portion, and dst[-1] is '/';
1149                  * go up one level.
1150                  */
1151                 dst--;  /* go to trailing '/' */
1152                 if (dst <= dst0)
1153                         return -1;
1154                 /* Windows: dst[-1] cannot be backslash anymore */
1155                 while (dst0 < dst && dst[-1] != '/')
1156                         dst--;
1157                 if (prefix_len && *prefix_len > dst - dst0)
1158                         *prefix_len = dst - dst0;
1159         }
1160         *dst = '\0';
1161         return 0;
1162 }
1163
1164 int normalize_path_copy(char *dst, const char *src)
1165 {
1166         return normalize_path_copy_len(dst, src, NULL);
1167 }
1168
1169 /*
1170  * path = Canonical absolute path
1171  * prefixes = string_list containing normalized, absolute paths without
1172  * trailing slashes (except for the root directory, which is denoted by "/").
1173  *
1174  * Determines, for each path in prefixes, whether the "prefix"
1175  * is an ancestor directory of path.  Returns the length of the longest
1176  * ancestor directory, excluding any trailing slashes, or -1 if no prefix
1177  * is an ancestor.  (Note that this means 0 is returned if prefixes is
1178  * ["/"].) "/foo" is not considered an ancestor of "/foobar".  Directories
1179  * are not considered to be their own ancestors.  path must be in a
1180  * canonical form: empty components, or "." or ".." components are not
1181  * allowed.
1182  */
1183 int longest_ancestor_length(const char *path, struct string_list *prefixes)
1184 {
1185         int i, max_len = -1;
1186
1187         if (!strcmp(path, "/"))
1188                 return -1;
1189
1190         for (i = 0; i < prefixes->nr; i++) {
1191                 const char *ceil = prefixes->items[i].string;
1192                 int len = strlen(ceil);
1193
1194                 if (len == 1 && ceil[0] == '/')
1195                         len = 0; /* root matches anything, with length 0 */
1196                 else if (!strncmp(path, ceil, len) && path[len] == '/')
1197                         ; /* match of length len */
1198                 else
1199                         continue; /* no match */
1200
1201                 if (len > max_len)
1202                         max_len = len;
1203         }
1204
1205         return max_len;
1206 }
1207
1208 /* strip arbitrary amount of directory separators at end of path */
1209 static inline int chomp_trailing_dir_sep(const char *path, int len)
1210 {
1211         while (len && is_dir_sep(path[len - 1]))
1212                 len--;
1213         return len;
1214 }
1215
1216 /*
1217  * If path ends with suffix (complete path components), returns the
1218  * part before suffix (sans trailing directory separators).
1219  * Otherwise returns NULL.
1220  */
1221 char *strip_path_suffix(const char *path, const char *suffix)
1222 {
1223         int path_len = strlen(path), suffix_len = strlen(suffix);
1224
1225         while (suffix_len) {
1226                 if (!path_len)
1227                         return NULL;
1228
1229                 if (is_dir_sep(path[path_len - 1])) {
1230                         if (!is_dir_sep(suffix[suffix_len - 1]))
1231                                 return NULL;
1232                         path_len = chomp_trailing_dir_sep(path, path_len);
1233                         suffix_len = chomp_trailing_dir_sep(suffix, suffix_len);
1234                 }
1235                 else if (path[--path_len] != suffix[--suffix_len])
1236                         return NULL;
1237         }
1238
1239         if (path_len && !is_dir_sep(path[path_len - 1]))
1240                 return NULL;
1241         return xstrndup(path, chomp_trailing_dir_sep(path, path_len));
1242 }
1243
1244 int daemon_avoid_alias(const char *p)
1245 {
1246         int sl, ndot;
1247
1248         /*
1249          * This resurrects the belts and suspenders paranoia check by HPA
1250          * done in <435560F7.4080006@zytor.com> thread, now enter_repo()
1251          * does not do getcwd() based path canonicalization.
1252          *
1253          * sl becomes true immediately after seeing '/' and continues to
1254          * be true as long as dots continue after that without intervening
1255          * non-dot character.
1256          */
1257         if (!p || (*p != '/' && *p != '~'))
1258                 return -1;
1259         sl = 1; ndot = 0;
1260         p++;
1261
1262         while (1) {
1263                 char ch = *p++;
1264                 if (sl) {
1265                         if (ch == '.')
1266                                 ndot++;
1267                         else if (ch == '/') {
1268                                 if (ndot < 3)
1269                                         /* reject //, /./ and /../ */
1270                                         return -1;
1271                                 ndot = 0;
1272                         }
1273                         else if (ch == 0) {
1274                                 if (0 < ndot && ndot < 3)
1275                                         /* reject /.$ and /..$ */
1276                                         return -1;
1277                                 return 0;
1278                         }
1279                         else
1280                                 sl = ndot = 0;
1281                 }
1282                 else if (ch == 0)
1283                         return 0;
1284                 else if (ch == '/') {
1285                         sl = 1;
1286                         ndot = 0;
1287                 }
1288         }
1289 }
1290
1291 /*
1292  * On NTFS, we need to be careful to disallow certain synonyms of the `.git/`
1293  * directory:
1294  *
1295  * - For historical reasons, file names that end in spaces or periods are
1296  *   automatically trimmed. Therefore, `.git . . ./` is a valid way to refer
1297  *   to `.git/`.
1298  *
1299  * - For other historical reasons, file names that do not conform to the 8.3
1300  *   format (up to eight characters for the basename, three for the file
1301  *   extension, certain characters not allowed such as `+`, etc) are associated
1302  *   with a so-called "short name", at least on the `C:` drive by default.
1303  *   Which means that `git~1/` is a valid way to refer to `.git/`.
1304  *
1305  *   Note: Technically, `.git/` could receive the short name `git~2` if the
1306  *   short name `git~1` were already used. In Git, however, we guarantee that
1307  *   `.git` is the first item in a directory, therefore it will be associated
1308  *   with the short name `git~1` (unless short names are disabled).
1309  *
1310  * - For yet other historical reasons, NTFS supports so-called "Alternate Data
1311  *   Streams", i.e. metadata associated with a given file, referred to via
1312  *   `<filename>:<stream-name>:<stream-type>`. There exists a default stream
1313  *   type for directories, allowing `.git/` to be accessed via
1314  *   `.git::$INDEX_ALLOCATION/`.
1315  *
1316  * When this function returns 1, it indicates that the specified file/directory
1317  * name refers to a `.git` file or directory, or to any of these synonyms, and
1318  * Git should therefore not track it.
1319  *
1320  * For performance reasons, _all_ Alternate Data Streams of `.git/` are
1321  * forbidden, not just `::$INDEX_ALLOCATION`.
1322  *
1323  * This function is intended to be used by `git fsck` even on platforms where
1324  * the backslash is a regular filename character, therefore it needs to handle
1325  * backlash characters in the provided `name` specially: they are interpreted
1326  * as directory separators.
1327  */
1328 int is_ntfs_dotgit(const char *name)
1329 {
1330         char c;
1331
1332         /*
1333          * Note that when we don't find `.git` or `git~1` we end up with `name`
1334          * advanced partway through the string. That's okay, though, as we
1335          * return immediately in those cases, without looking at `name` any
1336          * further.
1337          */
1338         c = *(name++);
1339         if (c == '.') {
1340                 /* .git */
1341                 if (((c = *(name++)) != 'g' && c != 'G') ||
1342                     ((c = *(name++)) != 'i' && c != 'I') ||
1343                     ((c = *(name++)) != 't' && c != 'T'))
1344                         return 0;
1345         } else if (c == 'g' || c == 'G') {
1346                 /* git ~1 */
1347                 if (((c = *(name++)) != 'i' && c != 'I') ||
1348                     ((c = *(name++)) != 't' && c != 'T') ||
1349                     *(name++) != '~' ||
1350                     *(name++) != '1')
1351                         return 0;
1352         } else
1353                 return 0;
1354
1355         for (;;) {
1356                 c = *(name++);
1357                 if (!c || c == '\\' || c == '/' || c == ':')
1358                         return 1;
1359                 if (c != '.' && c != ' ')
1360                         return 0;
1361         }
1362 }
1363
1364 static int is_ntfs_dot_generic(const char *name,
1365                                const char *dotgit_name,
1366                                size_t len,
1367                                const char *dotgit_ntfs_shortname_prefix)
1368 {
1369         int saw_tilde;
1370         size_t i;
1371
1372         if ((name[0] == '.' && !strncasecmp(name + 1, dotgit_name, len))) {
1373                 i = len + 1;
1374 only_spaces_and_periods:
1375                 for (;;) {
1376                         char c = name[i++];
1377                         if (!c || c == ':')
1378                                 return 1;
1379                         if (c != ' ' && c != '.')
1380                                 return 0;
1381                 }
1382         }
1383
1384         /*
1385          * Is it a regular NTFS short name, i.e. shortened to 6 characters,
1386          * followed by ~1, ... ~4?
1387          */
1388         if (!strncasecmp(name, dotgit_name, 6) && name[6] == '~' &&
1389             name[7] >= '1' && name[7] <= '4') {
1390                 i = 8;
1391                 goto only_spaces_and_periods;
1392         }
1393
1394         /*
1395          * Is it a fall-back NTFS short name (for details, see
1396          * https://en.wikipedia.org/wiki/8.3_filename?
1397          */
1398         for (i = 0, saw_tilde = 0; i < 8; i++)
1399                 if (name[i] == '\0')
1400                         return 0;
1401                 else if (saw_tilde) {
1402                         if (name[i] < '0' || name[i] > '9')
1403                                 return 0;
1404                 } else if (name[i] == '~') {
1405                         if (name[++i] < '1' || name[i] > '9')
1406                                 return 0;
1407                         saw_tilde = 1;
1408                 } else if (i >= 6)
1409                         return 0;
1410                 else if (name[i] < 0) {
1411                         /*
1412                          * We know our needles contain only ASCII, so we clamp
1413                          * here to make the results of tolower() sane.
1414                          */
1415                         return 0;
1416                 } else if (tolower(name[i]) != dotgit_ntfs_shortname_prefix[i])
1417                         return 0;
1418
1419         goto only_spaces_and_periods;
1420 }
1421
1422 /*
1423  * Inline helper to make sure compiler resolves strlen() on literals at
1424  * compile time.
1425  */
1426 static inline int is_ntfs_dot_str(const char *name, const char *dotgit_name,
1427                                   const char *dotgit_ntfs_shortname_prefix)
1428 {
1429         return is_ntfs_dot_generic(name, dotgit_name, strlen(dotgit_name),
1430                                    dotgit_ntfs_shortname_prefix);
1431 }
1432
1433 int is_ntfs_dotgitmodules(const char *name)
1434 {
1435         return is_ntfs_dot_str(name, "gitmodules", "gi7eba");
1436 }
1437
1438 int is_ntfs_dotgitignore(const char *name)
1439 {
1440         return is_ntfs_dot_str(name, "gitignore", "gi250a");
1441 }
1442
1443 int is_ntfs_dotgitattributes(const char *name)
1444 {
1445         return is_ntfs_dot_str(name, "gitattributes", "gi7d29");
1446 }
1447
1448 int looks_like_command_line_option(const char *str)
1449 {
1450         return str && str[0] == '-';
1451 }
1452
1453 char *xdg_config_home(const char *filename)
1454 {
1455         const char *home, *config_home;
1456
1457         assert(filename);
1458         config_home = getenv("XDG_CONFIG_HOME");
1459         if (config_home && *config_home)
1460                 return mkpathdup("%s/git/%s", config_home, filename);
1461
1462         home = getenv("HOME");
1463         if (home)
1464                 return mkpathdup("%s/.config/git/%s", home, filename);
1465         return NULL;
1466 }
1467
1468 char *xdg_cache_home(const char *filename)
1469 {
1470         const char *home, *cache_home;
1471
1472         assert(filename);
1473         cache_home = getenv("XDG_CACHE_HOME");
1474         if (cache_home && *cache_home)
1475                 return mkpathdup("%s/git/%s", cache_home, filename);
1476
1477         home = getenv("HOME");
1478         if (home)
1479                 return mkpathdup("%s/.cache/git/%s", home, filename);
1480         return NULL;
1481 }
1482
1483 GIT_PATH_FUNC(git_path_cherry_pick_head, "CHERRY_PICK_HEAD")
1484 GIT_PATH_FUNC(git_path_revert_head, "REVERT_HEAD")
1485 GIT_PATH_FUNC(git_path_squash_msg, "SQUASH_MSG")
1486 GIT_PATH_FUNC(git_path_merge_msg, "MERGE_MSG")
1487 GIT_PATH_FUNC(git_path_merge_rr, "MERGE_RR")
1488 GIT_PATH_FUNC(git_path_merge_mode, "MERGE_MODE")
1489 GIT_PATH_FUNC(git_path_merge_head, "MERGE_HEAD")
1490 GIT_PATH_FUNC(git_path_fetch_head, "FETCH_HEAD")
1491 GIT_PATH_FUNC(git_path_shallow, "shallow")