Fix information leakage by validating the URL scheme
[tweeper.git] / tweeper.php
index 27be95d..87efd60 100644 (file)
@@ -44,30 +44,39 @@ class Tweeper {
   /**
    * Convert numeric Epoch to the date format expected in a RSS document.
    */
-  public static function epoch_to_gmdate($timestamp) {
+  public static function epochToRssDate($timestamp) {
     if (!is_numeric($timestamp) || is_nan($timestamp)) {
       $timestamp = 0;
     }
 
-    return gmdate('D, d M Y H:i:s', $timestamp) . ' GMT';
+    return gmdate(DATE_RSS, $timestamp);
   }
 
   /**
    * Convert generic date string to the date format expected in a RSS document.
    */
-  public static function str_to_gmdate($date) {
+  public static function strToRssDate($date) {
     $timestamp = strtotime($date);
     if (FALSE === $timestamp) {
       $timestamp = 0;
     }
 
-    return Tweeper::epoch_to_gmdate($timestamp);
+    return Tweeper::epochToRssDate($timestamp);
+  }
+
+  /**
+   * Convert string to UpperCamelCase.
+   */
+  public static function toUpperCamelCase($str, $delim = ' ') {
+    $str_upper = ucwords($str, $delim);
+    $str_camel_case = str_replace($delim, '', $str_upper);
+    return $str_camel_case;
   }
 
   /**
    * Get the contents from a URL.
    */
-  private static function get_contents($url) {
+  private static function getUrlContents($url) {
     $ch = curl_init($url);
     curl_setopt_array($ch, array(
       CURLOPT_HEADER => FALSE,
@@ -80,6 +89,9 @@ class Tweeper {
       CURLOPT_USERAGENT => Tweeper::$userAgent,
     ));
     $contents = curl_exec($ch);
+    if (FALSE === $contents) {
+      trigger_error(curl_error($ch));
+    }
     curl_close($ch);
 
     return $contents;
@@ -88,7 +100,7 @@ class Tweeper {
   /**
    * Get the headers from a URL.
    */
-  private static function get_info($url) {
+  private static function getUrlInfo($url) {
     $ch = curl_init($url);
     curl_setopt_array($ch, array(
       CURLOPT_HEADER => TRUE,
@@ -102,6 +114,9 @@ class Tweeper {
     ));
     curl_exec($ch);
     $url_info = curl_getinfo($ch);
+    if (FALSE === $url_info) {
+      trigger_error(curl_error($ch));
+    }
     curl_close($ch);
 
     return $url_info;
@@ -110,9 +125,11 @@ class Tweeper {
   /**
    * Generate an RSS <enclosure/> element.
    */
-  public static function generate_enclosure($url) {
+  public static function generateEnclosure($url) {
     $supported_content_types = array(
+      "application/octet-stream",
       "application/ogg",
+      "application/pdf",
       "audio/aac",
       "audio/mp4",
       "audio/mpeg",
@@ -123,17 +140,14 @@ class Tweeper {
       "audio/x-midi",
       "image/gif",
       "image/jpeg",
+      "image/png",
       "video/avi",
       "video/mp4",
       "video/mpeg",
       "video/ogg",
     );
 
-    // The RSS specification says that the enclosure element URL must be http.
-    // See http://sourceforge.net/p/feedvalidator/bugs/72/
-    $http_url = preg_replace("/^https/", "http", $url);
-
-    $url_info = Tweeper::get_info($http_url);
+    $url_info = Tweeper::getUrlInfo($url);
 
     $supported = in_array($url_info['content_type'], $supported_content_types);
     if (!$supported) {
@@ -141,21 +155,23 @@ class Tweeper {
       return '';
     }
 
-    $dom = new DomDocument();
+    // The RSS specification says that the enclosure element URL must be http.
+    // See http://sourceforge.net/p/feedvalidator/bugs/72/
+    $http_url = preg_replace("/^https/", "http", $url_info['url']);
+
+    $dom = new DOMDocument();
     $enc = $dom->createElement('enclosure');
-    $enc->setAttribute('url', $url_info['url']);
+    $enc->setAttribute('url', $http_url);
     $enc->setAttribute('length', $url_info['download_content_length']);
     $enc->setAttribute('type', $url_info['content_type']);
 
-    $dom->appendChild($enc);
-
-    return $dom->saveXML($enc);
+    return $enc;
   }
 
   /**
    * Mimic the message from libxml.c::php_libxml_ctx_error_level()
    */
-  private function log_xml_error($error) {
+  private static function logXmlError($error) {
     $output = "";
 
     switch ($error->level) {
@@ -187,32 +203,9 @@ class Tweeper {
   }
 
   /**
-   * Load a stylesheet if the web site is supported.
-   */
-  private function load_stylesheet($host) {
-    $stylesheet = "file://" . __DIR__ . "/rss_converter_" . $host . ".xsl";
-    if (FALSE === file_exists($stylesheet)) {
-      trigger_error("Conversion to RSS not supported for $host ($stylesheet not found)", E_USER_ERROR);
-      return NULL;
-    }
-
-    $stylesheet_contents = $this->get_contents($stylesheet);
-
-    $xslDoc = new DOMDocument();
-    $xslDoc->loadXML($stylesheet_contents);
-
-    $xsltProcessor = new XSLTProcessor();
-    $xsltProcessor->registerPHPFunctions();
-    $xsltProcessor->setParameter('', 'generateEnclosure', $this->generate_enclosure);
-    $xsltProcessor->importStylesheet($xslDoc);
-
-    return $xsltProcessor;
-  }
-
-  /**
-   * Convert json to xml.
+   * Convert json to XML.
    */
-  private function json_to_xml($json, $root_node_name) {
+  private static function jsonToXml($json, $root_node_name) {
     // Apparently the ObjectNormalizer used afterwards is not able to handle
     // the stdClass object created by json_decode() with the default setting
     // $assoc = false; so use $assoc = true.
@@ -243,7 +236,7 @@ class Tweeper {
   /**
    * Convert the Instagram content to XML.
    */
-  private function get_xml_instagram_com($html) {
+  private function getXmlInstagramCom($html) {
     // Extract the json data from the html code.
     $json_match_expr = '/window._sharedData = (.*);/';
     $ret = preg_match($json_match_expr, $html, $matches);
@@ -252,13 +245,13 @@ class Tweeper {
       return NULL;
     }
 
-    return $this->json_to_xml($matches[1], 'instagram');
+    return Tweeper::jsonToXml($matches[1], 'instagram');
   }
 
   /**
    * Make the Facebook HTML processable.
    */
-  private function preprocess_html_facebook_com($html) {
+  private function preprocessHtmlFacebookCom($html) {
     $html = str_replace('<!--', '', $html);
     $html = str_replace('-->', '', $html);
     return $html;
@@ -267,14 +260,14 @@ class Tweeper {
   /**
    * Convert the HTML retrieved from the site to XML.
    */
-  private function html_to_xml($html, $host) {
+  private function htmlToXml($html, $host) {
     $xmlDoc = new DOMDocument();
 
     // Handle warnings and errors when loading invalid HTML.
     $xml_errors_value = libxml_use_internal_errors(TRUE);
 
-    // If there is a host-specific method to get the xml data, use it!
-    $get_xml_host_method = 'get_xml_' . str_replace(".", "_", $host);
+    // If there is a host-specific method to get the XML data, use it!
+    $get_xml_host_method = 'getXml' . Tweeper::toUpperCamelCase($host, '.');
     if (method_exists($this, $get_xml_host_method)) {
       $xml_data = call_user_func_array(array($this, $get_xml_host_method), array($html));
       $xmlDoc->loadXML($xml_data);
@@ -284,7 +277,7 @@ class Tweeper {
     }
 
     foreach (libxml_get_errors() as $xml_error) {
-      $this->log_xml_error($xml_error);
+      Tweeper::logXmlError($xml_error);
     }
     libxml_clear_errors();
     libxml_use_internal_errors($xml_errors_value);
@@ -293,6 +286,29 @@ class Tweeper {
   }
 
   /**
+   * Load a stylesheet if the web site is supported.
+   */
+  private function loadStylesheet($host) {
+    $stylesheet = "file://" . __DIR__ . "/rss_converter_" . $host . ".xsl";
+    if (FALSE === file_exists($stylesheet)) {
+      trigger_error("Conversion to RSS not supported for $host ($stylesheet not found)", E_USER_ERROR);
+      return NULL;
+    }
+
+    $stylesheet_contents = Tweeper::getUrlContents($stylesheet);
+
+    $xslDoc = new DOMDocument();
+    $xslDoc->loadXML($stylesheet_contents);
+
+    $xsltProcessor = new XSLTProcessor();
+    $xsltProcessor->registerPHPFunctions();
+    $xsltProcessor->setParameter('', 'generate-enclosure', $this->generate_enclosure);
+    $xsltProcessor->importStylesheet($xslDoc);
+
+    return $xsltProcessor;
+  }
+
+  /**
    * Convert the site content to RSS.
    */
   public function tweep($src_url) {
@@ -302,25 +318,31 @@ class Tweeper {
       return NULL;
     }
 
+    $scheme = $url["scheme"];
+    if (!in_array($scheme, array("http", "https"))) {
+      trigger_error("unsupported scheme: $scheme", E_USER_ERROR);
+      return NULL;
+    }
+
     // Strip the leading www. to be more forgiving on input URLs.
     $host = preg_replace('/^www\./', '', $url["host"]);
 
-    $xsltProcessor = $this->load_stylesheet($host);
+    $xsltProcessor = $this->loadStylesheet($host);
     if (NULL === $xsltProcessor) {
       return NULL;
     }
 
-    $html = $this->get_contents($src_url);
+    $html = Tweeper::getUrlContents($src_url);
     if (FALSE === $html) {
       return NULL;
     }
 
-    $preprocess_html_host_method = 'preprocess_html_' . str_replace(".", "_", $host);
+    $preprocess_html_host_method = 'preprocessHtml' . Tweeper::toUpperCamelCase($host, '.');
     if (method_exists($this, $preprocess_html_host_method)) {
       $html = call_user_func_array(array($this, $preprocess_html_host_method), array($html));
     }
 
-    $xmlDoc = $this->html_to_xml($html, $host);
+    $xmlDoc = $this->htmlToXml($html, $host);
     if (NULL === $xmlDoc) {
       return NULL;
     }
@@ -413,17 +435,21 @@ function parse_options_query_string() {
 
 if (is_cli()) {
   $options = parse_options_cli($argv, $argc);
-  $ERROR_STREAM = fopen('php://stderr', 'w');
+  $error_stream = fopen('php://stderr', 'w');
 }
 else {
   $options = parse_options_query_string();
-  $ERROR_STREAM = fopen('php://output', 'w');
+  $error_stream = fopen('php://output', 'w');
 }
 
 if (!isset($options['src_url'])) {
-  fwrite($ERROR_STREAM, usage(is_cli() ? $argv : NULL));
+  fwrite($error_stream, usage(is_cli() ? $argv : NULL));
   exit(1);
 }
 
 $tweeper = new Tweeper($options['generate_enclosure']);
-echo $tweeper->tweep($options['src_url']);
+$output = $tweeper->tweep($options['src_url']);
+if (is_null($output)) {
+  exit(1);
+}
+echo $output;