Re: [perl #50322] CGITempFile causes "Insecure dependency in sprintf" in perl 5.10.0
[perl.git] / lib / CGI.pm
1 package CGI;
2 require 5.004;
3 use Carp 'croak';
4
5 # See the bottom of this file for the POD documentation.  Search for the
6 # string '=head'.
7
8 # You can run this file through either pod2man or pod2html to produce pretty
9 # documentation in manual or html file format (these utilities are part of the
10 # Perl 5 distribution).
11
12 # Copyright 1995-1998 Lincoln D. Stein.  All rights reserved.
13 # It may be used and modified freely, but I do request that this copyright
14 # notice remain attached to the file.  You may modify this module as you 
15 # wish, but if you redistribute a modified version, please attach a note
16 # listing the modifications you have made.
17
18 # The most recent version and complete docs are available at:
19 #   http://stein.cshl.org/WWW/software/CGI/
20
21 $CGI::revision = '$Id: CGI.pm,v 1.240 2007/11/30 18:58:27 lstein Exp $';
22 $CGI::VERSION='3.33_03';
23 $CGI::VERSION=eval $CGI::VERSION;
24
25
26 # HARD-CODED LOCATION FOR FILE UPLOAD TEMPORARY FILES.
27 # UNCOMMENT THIS ONLY IF YOU KNOW WHAT YOU'RE DOING.
28 # $CGITempFile::TMPDIRECTORY = '/usr/tmp';
29 use CGI::Util qw(rearrange make_attributes unescape escape expires ebcdic2ascii ascii2ebcdic);
30
31 #use constant XHTML_DTD => ['-//W3C//DTD XHTML Basic 1.0//EN',
32 #                           'http://www.w3.org/TR/xhtml-basic/xhtml-basic10.dtd'];
33
34 use constant XHTML_DTD => ['-//W3C//DTD XHTML 1.0 Transitional//EN',
35                            'http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd'];
36
37 {
38   local $^W = 0;
39   $TAINTED = substr("$0$^X",0,0);
40 }
41
42 $MOD_PERL = 0; # no mod_perl by default
43 @SAVED_SYMBOLS = ();
44
45
46 # >>>>> Here are some globals that you might want to adjust <<<<<<
47 sub initialize_globals {
48     # Set this to 1 to enable copious autoloader debugging messages
49     $AUTOLOAD_DEBUG = 0;
50
51     # Set this to 1 to generate XTML-compatible output
52     $XHTML = 1;
53
54     # Change this to the preferred DTD to print in start_html()
55     # or use default_dtd('text of DTD to use');
56     $DEFAULT_DTD = [ '-//W3C//DTD HTML 4.01 Transitional//EN',
57                      'http://www.w3.org/TR/html4/loose.dtd' ] ;
58
59     # Set this to 1 to enable NOSTICKY scripts
60     # or: 
61     #    1) use CGI qw(-nosticky)
62     #    2) $CGI::nosticky(1)
63     $NOSTICKY = 0;
64
65     # Set this to 1 to enable NPH scripts
66     # or: 
67     #    1) use CGI qw(-nph)
68     #    2) CGI::nph(1)
69     #    3) print header(-nph=>1)
70     $NPH = 0;
71
72     # Set this to 1 to enable debugging from @ARGV
73     # Set to 2 to enable debugging from STDIN
74     $DEBUG = 1;
75
76     # Set this to 1 to make the temporary files created
77     # during file uploads safe from prying eyes
78     # or do...
79     #    1) use CGI qw(:private_tempfiles)
80     #    2) CGI::private_tempfiles(1);
81     $PRIVATE_TEMPFILES = 0;
82
83     # Set this to 1 to generate automatic tab indexes
84     $TABINDEX = 0;
85
86     # Set this to 1 to cause files uploaded in multipart documents
87     # to be closed, instead of caching the file handle
88     # or:
89     #    1) use CGI qw(:close_upload_files)
90     #    2) $CGI::close_upload_files(1);
91     # Uploads with many files run out of file handles.
92     # Also, for performance, since the file is already on disk,
93     # it can just be renamed, instead of read and written.
94     $CLOSE_UPLOAD_FILES = 0;
95
96     # Set this to a positive value to limit the size of a POSTing
97     # to a certain number of bytes:
98     $POST_MAX = -1;
99
100     # Change this to 1 to disable uploads entirely:
101     $DISABLE_UPLOADS = 0;
102
103     # Automatically determined -- don't change
104     $EBCDIC = 0;
105
106     # Change this to 1 to suppress redundant HTTP headers
107     $HEADERS_ONCE = 0;
108
109     # separate the name=value pairs by semicolons rather than ampersands
110     $USE_PARAM_SEMICOLONS = 1;
111
112     # Do not include undefined params parsed from query string
113     # use CGI qw(-no_undef_params);
114     $NO_UNDEF_PARAMS = 0;
115
116     # return everything as utf-8
117     $PARAM_UTF8      = 0;
118
119     # Other globals that you shouldn't worry about.
120     undef $Q;
121     $BEEN_THERE = 0;
122     $DTD_PUBLIC_IDENTIFIER = "";
123     undef @QUERY_PARAM;
124     undef %EXPORT;
125     undef $QUERY_CHARSET;
126     undef %QUERY_FIELDNAMES;
127     undef %QUERY_TMPFILES;
128
129     # prevent complaints by mod_perl
130     1;
131 }
132
133 # ------------------ START OF THE LIBRARY ------------
134
135 *end_form = \&endform;
136
137 # make mod_perlhappy
138 initialize_globals();
139
140 # FIGURE OUT THE OS WE'RE RUNNING UNDER
141 # Some systems support the $^O variable.  If not
142 # available then require() the Config library
143 unless ($OS) {
144     unless ($OS = $^O) {
145         require Config;
146         $OS = $Config::Config{'osname'};
147     }
148 }
149 if ($OS =~ /^MSWin/i) {
150   $OS = 'WINDOWS';
151 } elsif ($OS =~ /^VMS/i) {
152   $OS = 'VMS';
153 } elsif ($OS =~ /^dos/i) {
154   $OS = 'DOS';
155 } elsif ($OS =~ /^MacOS/i) {
156     $OS = 'MACINTOSH';
157 } elsif ($OS =~ /^os2/i) {
158     $OS = 'OS2';
159 } elsif ($OS =~ /^epoc/i) {
160     $OS = 'EPOC';
161 } elsif ($OS =~ /^cygwin/i) {
162     $OS = 'CYGWIN';
163 } else {
164     $OS = 'UNIX';
165 }
166
167 # Some OS logic.  Binary mode enabled on DOS, NT and VMS
168 $needs_binmode = $OS=~/^(WINDOWS|DOS|OS2|MSWin|CYGWIN)/;
169
170 # This is the default class for the CGI object to use when all else fails.
171 $DefaultClass = 'CGI' unless defined $CGI::DefaultClass;
172
173 # This is where to look for autoloaded routines.
174 $AutoloadClass = $DefaultClass unless defined $CGI::AutoloadClass;
175
176 # The path separator is a slash, backslash or semicolon, depending
177 # on the paltform.
178 $SL = {
179      UNIX    => '/',  OS2 => '\\', EPOC      => '/', CYGWIN => '/',
180      WINDOWS => '\\', DOS => '\\', MACINTOSH => ':', VMS    => '/'
181     }->{$OS};
182
183 # This no longer seems to be necessary
184 # Turn on NPH scripts by default when running under IIS server!
185 # $NPH++ if defined($ENV{'SERVER_SOFTWARE'}) && $ENV{'SERVER_SOFTWARE'}=~/IIS/;
186 $IIS++ if defined($ENV{'SERVER_SOFTWARE'}) && $ENV{'SERVER_SOFTWARE'}=~/IIS/;
187
188 # Turn on special checking for Doug MacEachern's modperl
189 if (exists $ENV{MOD_PERL}) {
190   # mod_perl handlers may run system() on scripts using CGI.pm;
191   # Make sure so we don't get fooled by inherited $ENV{MOD_PERL}
192   if (exists $ENV{MOD_PERL_API_VERSION} && $ENV{MOD_PERL_API_VERSION} == 2) {
193     $MOD_PERL = 2;
194     require Apache2::Response;
195     require Apache2::RequestRec;
196     require Apache2::RequestUtil;
197     require Apache2::RequestIO;
198     require APR::Pool;
199   } else {
200     $MOD_PERL = 1;
201     require Apache;
202   }
203 }
204
205 # Turn on special checking for ActiveState's PerlEx
206 $PERLEX++ if defined($ENV{'GATEWAY_INTERFACE'}) && $ENV{'GATEWAY_INTERFACE'} =~ /^CGI-PerlEx/;
207
208 # Define the CRLF sequence.  I can't use a simple "\r\n" because the meaning
209 # of "\n" is different on different OS's (sometimes it generates CRLF, sometimes LF
210 # and sometimes CR).  The most popular VMS web server
211 # doesn't accept CRLF -- instead it wants a LR.  EBCDIC machines don't
212 # use ASCII, so \015\012 means something different.  I find this all 
213 # really annoying.
214 $EBCDIC = "\t" ne "\011";
215 if ($OS eq 'VMS') {
216   $CRLF = "\n";
217 } elsif ($EBCDIC) {
218   $CRLF= "\r\n";
219 } else {
220   $CRLF = "\015\012";
221 }
222
223 if ($needs_binmode) {
224     $CGI::DefaultClass->binmode(\*main::STDOUT);
225     $CGI::DefaultClass->binmode(\*main::STDIN);
226     $CGI::DefaultClass->binmode(\*main::STDERR);
227 }
228
229 %EXPORT_TAGS = (
230                 ':html2'=>['h1'..'h6',qw/p br hr ol ul li dl dt dd menu code var strong em
231                            tt u i b blockquote pre img a address cite samp dfn html head
232                            base body Link nextid title meta kbd start_html end_html
233                            input Select option comment charset escapeHTML/],
234                 ':html3'=>[qw/div table caption th td TR Tr sup Sub strike applet Param 
235                            embed basefont style span layer ilayer font frameset frame script small big Area Map/],
236                 ':html4'=>[qw/abbr acronym bdo col colgroup del fieldset iframe
237                             ins label legend noframes noscript object optgroup Q 
238                             thead tbody tfoot/], 
239                 ':netscape'=>[qw/blink fontsize center/],
240                 ':form'=>[qw/textfield textarea filefield password_field hidden checkbox checkbox_group 
241                           submit reset defaults radio_group popup_menu button autoEscape
242                           scrolling_list image_button start_form end_form startform endform
243                           start_multipart_form end_multipart_form isindex tmpFileName uploadInfo URL_ENCODED MULTIPART/],
244                 ':cgi'=>[qw/param upload path_info path_translated request_uri url self_url script_name 
245                          cookie Dump
246                          raw_cookie request_method query_string Accept user_agent remote_host content_type
247                          remote_addr referer server_name server_software server_port server_protocol virtual_port
248                          virtual_host remote_ident auth_type http append
249                          save_parameters restore_parameters param_fetch
250                          remote_user user_name header redirect import_names put 
251                          Delete Delete_all url_param cgi_error/],
252                 ':ssl' => [qw/https/],
253                 ':cgi-lib' => [qw/ReadParse PrintHeader HtmlTop HtmlBot SplitParam Vars/],
254                 ':html' => [qw/:html2 :html3 :html4 :netscape/],
255                 ':standard' => [qw/:html2 :html3 :html4 :form :cgi/],
256                 ':push' => [qw/multipart_init multipart_start multipart_end multipart_final/],
257                 ':all' => [qw/:html2 :html3 :netscape :form :cgi :internal :html4/]
258                 );
259
260 # Custom 'can' method for both autoloaded and non-autoloaded subroutines.
261 # Author: Cees Hek <cees@sitesuite.com.au>
262
263 sub can {
264         my($class, $method) = @_;
265
266         # See if UNIVERSAL::can finds it.
267
268         if (my $func = $class -> SUPER::can($method) ){
269                 return $func;
270         }
271
272         # Try to compile the function.
273
274         eval {
275                 # _compile looks at $AUTOLOAD for the function name.
276
277                 local $AUTOLOAD = join "::", $class, $method;
278                 &_compile;
279         };
280
281         # Now that the function is loaded (if it exists)
282         # just use UNIVERSAL::can again to do the work.
283
284         return $class -> SUPER::can($method);
285 }
286
287 # to import symbols into caller
288 sub import {
289     my $self = shift;
290
291     # This causes modules to clash.
292     undef %EXPORT_OK;
293     undef %EXPORT;
294
295     $self->_setup_symbols(@_);
296     my ($callpack, $callfile, $callline) = caller;
297
298     # To allow overriding, search through the packages
299     # Till we find one in which the correct subroutine is defined.
300     my @packages = ($self,@{"$self\:\:ISA"});
301     foreach $sym (keys %EXPORT) {
302         my $pck;
303         my $def = ${"$self\:\:AutoloadClass"} || $DefaultClass;
304         foreach $pck (@packages) {
305             if (defined(&{"$pck\:\:$sym"})) {
306                 $def = $pck;
307                 last;
308             }
309         }
310         *{"${callpack}::$sym"} = \&{"$def\:\:$sym"};
311     }
312 }
313
314 sub compile {
315     my $pack = shift;
316     $pack->_setup_symbols('-compile',@_);
317 }
318
319 sub expand_tags {
320     my($tag) = @_;
321     return ("start_$1","end_$1") if $tag=~/^(?:\*|start_|end_)(.+)/;
322     my(@r);
323     return ($tag) unless $EXPORT_TAGS{$tag};
324     foreach (@{$EXPORT_TAGS{$tag}}) {
325         push(@r,&expand_tags($_));
326     }
327     return @r;
328 }
329
330 #### Method: new
331 # The new routine.  This will check the current environment
332 # for an existing query string, and initialize itself, if so.
333 ####
334 sub new {
335   my($class,@initializer) = @_;
336   my $self = {};
337
338   bless $self,ref $class || $class || $DefaultClass;
339
340   # always use a tempfile
341   $self->{'use_tempfile'} = 1;
342
343   if (ref($initializer[0])
344       && (UNIVERSAL::isa($initializer[0],'Apache')
345           ||
346           UNIVERSAL::isa($initializer[0],'Apache2::RequestRec')
347          )) {
348     $self->r(shift @initializer);
349   }
350  if (ref($initializer[0]) 
351      && (UNIVERSAL::isa($initializer[0],'CODE'))) {
352     $self->upload_hook(shift @initializer, shift @initializer);
353     $self->{'use_tempfile'} = shift @initializer if (@initializer > 0);
354   }
355   if ($MOD_PERL) {
356     if ($MOD_PERL == 1) {
357       $self->r(Apache->request) unless $self->r;
358       my $r = $self->r;
359       $r->register_cleanup(\&CGI::_reset_globals);
360     }
361     else {
362       # XXX: once we have the new API
363       # will do a real PerlOptions -SetupEnv check
364       $self->r(Apache2::RequestUtil->request) unless $self->r;
365       my $r = $self->r;
366       $r->subprocess_env unless exists $ENV{REQUEST_METHOD};
367       $r->pool->cleanup_register(\&CGI::_reset_globals);
368     }
369     undef $NPH;
370   }
371   $self->_reset_globals if $PERLEX;
372   $self->init(@initializer);
373   return $self;
374 }
375
376 # We provide a DESTROY method so that we can ensure that
377 # temporary files are closed (via Fh->DESTROY) before they
378 # are unlinked (via CGITempFile->DESTROY) because it is not
379 # possible to unlink an open file on Win32. We explicitly
380 # call DESTROY on each, rather than just undefing them and
381 # letting Perl DESTROY them by garbage collection, in case the
382 # user is still holding any reference to them as well.
383 sub DESTROY {
384   my $self = shift;
385   if ($OS eq 'WINDOWS') {
386     foreach my $href (values %{$self->{'.tmpfiles'}}) {
387       $href->{hndl}->DESTROY if defined $href->{hndl};
388       $href->{name}->DESTROY if defined $href->{name};
389     }
390   }
391 }
392
393 sub r {
394   my $self = shift;
395   my $r = $self->{'.r'};
396   $self->{'.r'} = shift if @_;
397   $r;
398 }
399
400 sub upload_hook {
401   my $self;
402   if (ref $_[0] eq 'CODE') {
403     $CGI::Q = $self = $CGI::DefaultClass->new(@_);
404   } else {
405     $self = shift;
406   }
407   my ($hook,$data,$use_tempfile) = @_;
408   $self->{'.upload_hook'} = $hook;
409   $self->{'.upload_data'} = $data;
410   $self->{'use_tempfile'} = $use_tempfile if defined $use_tempfile;
411 }
412
413 #### Method: param
414 # Returns the value(s)of a named parameter.
415 # If invoked in a list context, returns the
416 # entire list.  Otherwise returns the first
417 # member of the list.
418 # If name is not provided, return a list of all
419 # the known parameters names available.
420 # If more than one argument is provided, the
421 # second and subsequent arguments are used to
422 # set the value of the parameter.
423 ####
424 sub param {
425     my($self,@p) = self_or_default(@_);
426     return $self->all_parameters unless @p;
427     my($name,$value,@other);
428
429     # For compatibility between old calling style and use_named_parameters() style, 
430     # we have to special case for a single parameter present.
431     if (@p > 1) {
432         ($name,$value,@other) = rearrange([NAME,[DEFAULT,VALUE,VALUES]],@p);
433         my(@values);
434
435         if (substr($p[0],0,1) eq '-') {
436             @values = defined($value) ? (ref($value) && ref($value) eq 'ARRAY' ? @{$value} : $value) : ();
437         } else {
438             foreach ($value,@other) {
439                 push(@values,$_) if defined($_);
440             }
441         }
442         # If values is provided, then we set it.
443         if (@values or defined $value) {
444             $self->add_parameter($name);
445             $self->{$name}=[@values];
446         }
447     } else {
448         $name = $p[0];
449     }
450
451     return unless defined($name) && $self->{$name};
452
453     my @result = @{$self->{$name}};
454
455     if ($PARAM_UTF8) {
456       eval "require Encode; 1;" unless Encode->can('decode'); # bring in these functions
457       @result = map {ref $_ ? $_ : Encode::decode(utf8=>$_) } @result;
458     }
459
460     return wantarray ?  @result : $result[0];
461 }
462
463 sub self_or_default {
464     return @_ if defined($_[0]) && (!ref($_[0])) &&($_[0] eq 'CGI');
465     unless (defined($_[0]) && 
466             (ref($_[0]) eq 'CGI' || UNIVERSAL::isa($_[0],'CGI')) # slightly optimized for common case
467             ) {
468         $Q = $CGI::DefaultClass->new unless defined($Q);
469         unshift(@_,$Q);
470     }
471     return wantarray ? @_ : $Q;
472 }
473
474 sub self_or_CGI {
475     local $^W=0;                # prevent a warning
476     if (defined($_[0]) &&
477         (substr(ref($_[0]),0,3) eq 'CGI' 
478          || UNIVERSAL::isa($_[0],'CGI'))) {
479         return @_;
480     } else {
481         return ($DefaultClass,@_);
482     }
483 }
484
485 ########################################
486 # THESE METHODS ARE MORE OR LESS PRIVATE
487 # GO TO THE __DATA__ SECTION TO SEE MORE
488 # PUBLIC METHODS
489 ########################################
490
491 # Initialize the query object from the environment.
492 # If a parameter list is found, this object will be set
493 # to an associative array in which parameter names are keys
494 # and the values are stored as lists
495 # If a keyword list is found, this method creates a bogus
496 # parameter list with the single parameter 'keywords'.
497
498 sub init {
499   my $self = shift;
500   my($query_string,$meth,$content_length,$fh,@lines) = ('','','','');
501
502   my $is_xforms;
503
504   my $initializer = shift;  # for backward compatibility
505   local($/) = "\n";
506
507     # set autoescaping on by default
508     $self->{'escape'} = 1;
509
510     # if we get called more than once, we want to initialize
511     # ourselves from the original query (which may be gone
512     # if it was read from STDIN originally.)
513     if (defined(@QUERY_PARAM) && !defined($initializer)) {
514         for my $name (@QUERY_PARAM) {
515             my $val = $QUERY_PARAM{$name}; # always an arrayref;
516             $self->param('-name'=>$name,'-value'=> $val);
517             if (defined $val and ref $val eq 'ARRAY') {
518                 for my $fh (grep {defined(fileno($_))} @$val) {
519                    seek($fh,0,0); # reset the filehandle.  
520                 }
521
522             }
523         }
524         $self->charset($QUERY_CHARSET);
525         $self->{'.fieldnames'} = {%QUERY_FIELDNAMES};
526         $self->{'.tmpfiles'}   = {%QUERY_TMPFILES};
527         return;
528     }
529
530     $meth=$ENV{'REQUEST_METHOD'} if defined($ENV{'REQUEST_METHOD'});
531     $content_length = defined($ENV{'CONTENT_LENGTH'}) ? $ENV{'CONTENT_LENGTH'} : 0;
532
533     $fh = to_filehandle($initializer) if $initializer;
534
535     # set charset to the safe ISO-8859-1
536     $self->charset('ISO-8859-1');
537
538   METHOD: {
539
540       # avoid unreasonably large postings
541       if (($POST_MAX > 0) && ($content_length > $POST_MAX)) {
542         #discard the post, unread
543         $self->cgi_error("413 Request entity too large");
544         last METHOD;
545       }
546
547       # Process multipart postings, but only if the initializer is
548       # not defined.
549       if ($meth eq 'POST'
550           && defined($ENV{'CONTENT_TYPE'})
551           && $ENV{'CONTENT_TYPE'}=~m|^multipart/form-data|
552           && !defined($initializer)
553           ) {
554           my($boundary) = $ENV{'CONTENT_TYPE'} =~ /boundary=\"?([^\";,]+)\"?/;
555           $self->read_multipart($boundary,$content_length);
556           last METHOD;
557       } 
558
559       # Process XForms postings. We know that we have XForms in the
560       # following cases:
561       # method eq 'POST' && content-type eq 'application/xml'
562       # method eq 'POST' && content-type =~ /multipart\/related.+start=/
563       # There are more cases, actually, but for now, we don't support other
564       # methods for XForm posts.
565       # In a XForm POST, the QUERY_STRING is parsed normally.
566       # If the content-type is 'application/xml', we just set the param
567       # XForms:Model (referring to the xml syntax) param containing the
568       # unparsed XML data.
569       # In the case of multipart/related we set XForms:Model as above, but
570       # the other parts are available as uploads with the Content-ID as the
571       # the key.
572       # See the URL below for XForms specs on this issue.
573       # http://www.w3.org/TR/2006/REC-xforms-20060314/slice11.html#submit-options
574       if ($meth eq 'POST' && defined($ENV{'CONTENT_TYPE'})) {
575               if ($ENV{'CONTENT_TYPE'} eq 'application/xml') {
576                       my($param) = 'XForms:Model';
577                       my($value) = '';
578                       $self->add_parameter($param);
579                       $self->read_from_client(\$value,$content_length,0)
580                         if $content_length > 0;
581                       push (@{$self->{$param}},$value);
582                       $is_xforms = 1;
583               } elsif ($ENV{'CONTENT_TYPE'} =~ /multipart\/related.+boundary=\"?([^\";,]+)\"?.+start=\"?\<?([^\"\>]+)\>?\"?/) {
584                       my($boundary,$start) = ($1,$2);
585                       my($param) = 'XForms:Model';
586                       $self->add_parameter($param);
587                       my($value) = $self->read_multipart_related($start,$boundary,$content_length,0);
588                       push (@{$self->{$param}},$value);
589                       if ($MOD_PERL) {
590                               $query_string = $self->r->args;
591                       } else {
592                               $query_string = $ENV{'QUERY_STRING'} if defined $ENV{'QUERY_STRING'};
593                               $query_string ||= $ENV{'REDIRECT_QUERY_STRING'} if defined $ENV{'REDIRECT_QUERY_STRING'};
594                       }
595                       $is_xforms = 1;
596               }
597       }
598
599
600       # If initializer is defined, then read parameters
601       # from it.
602       if (!$is_xforms && defined($initializer)) {
603           if (UNIVERSAL::isa($initializer,'CGI')) {
604               $query_string = $initializer->query_string;
605               last METHOD;
606           }
607           if (ref($initializer) && ref($initializer) eq 'HASH') {
608               foreach (keys %$initializer) {
609                   $self->param('-name'=>$_,'-value'=>$initializer->{$_});
610               }
611               last METHOD;
612           }
613
614           if (defined($fh) && ($fh ne '')) {
615               while (<$fh>) {
616                   chomp;
617                   last if /^=/;
618                   push(@lines,$_);
619               }
620               # massage back into standard format
621               if ("@lines" =~ /=/) {
622                   $query_string=join("&",@lines);
623               } else {
624                   $query_string=join("+",@lines);
625               }
626               last METHOD;
627           }
628
629           # last chance -- treat it as a string
630           $initializer = $$initializer if ref($initializer) eq 'SCALAR';
631           $query_string = $initializer;
632
633           last METHOD;
634       }
635
636       # If method is GET or HEAD, fetch the query from
637       # the environment.
638       if ($is_xforms || $meth=~/^(GET|HEAD)$/) {
639           if ($MOD_PERL) {
640             $query_string = $self->r->args;
641           } else {
642               $query_string = $ENV{'QUERY_STRING'} if defined $ENV{'QUERY_STRING'};
643               $query_string ||= $ENV{'REDIRECT_QUERY_STRING'} if defined $ENV{'REDIRECT_QUERY_STRING'};
644           }
645           last METHOD;
646       }
647
648       if ($meth eq 'POST' || $meth eq 'PUT') {
649           $self->read_from_client(\$query_string,$content_length,0)
650               if $content_length > 0;
651           # Some people want to have their cake and eat it too!
652           # Uncomment this line to have the contents of the query string
653           # APPENDED to the POST data.
654           # $query_string .= (length($query_string) ? '&' : '') . $ENV{'QUERY_STRING'} if defined $ENV{'QUERY_STRING'};
655           last METHOD;
656       }
657
658       # If $meth is not of GET, POST or HEAD, assume we're being debugged offline.
659       # Check the command line and then the standard input for data.
660       # We use the shellwords package in order to behave the way that
661       # UN*X programmers expect.
662       if ($DEBUG)
663       {
664           my $cmdline_ret = read_from_cmdline();
665           $query_string = $cmdline_ret->{'query_string'};
666           if (defined($cmdline_ret->{'subpath'}))
667           {
668               $self->path_info($cmdline_ret->{'subpath'});
669           }
670       }
671   }
672
673 # YL: Begin Change for XML handler 10/19/2001
674     if (!$is_xforms && ($meth eq 'POST' || $meth eq 'PUT')
675         && defined($ENV{'CONTENT_TYPE'})
676         && $ENV{'CONTENT_TYPE'} !~ m|^application/x-www-form-urlencoded|
677         && $ENV{'CONTENT_TYPE'} !~ m|^multipart/form-data| ) {
678         my($param) = $meth . 'DATA' ;
679         $self->add_parameter($param) ;
680       push (@{$self->{$param}},$query_string);
681       undef $query_string ;
682     }
683 # YL: End Change for XML handler 10/19/2001
684
685     # We now have the query string in hand.  We do slightly
686     # different things for keyword lists and parameter lists.
687     if (defined $query_string && length $query_string) {
688         if ($query_string =~ /[&=;]/) {
689             $self->parse_params($query_string);
690         } else {
691             $self->add_parameter('keywords');
692             $self->{'keywords'} = [$self->parse_keywordlist($query_string)];
693         }
694     }
695
696     # Special case.  Erase everything if there is a field named
697     # .defaults.
698     if ($self->param('.defaults')) {
699       $self->delete_all();
700     }
701
702     # Associative array containing our defined fieldnames
703     $self->{'.fieldnames'} = {};
704     foreach ($self->param('.cgifields')) {
705         $self->{'.fieldnames'}->{$_}++;
706     }
707     
708     # Clear out our default submission button flag if present
709     $self->delete('.submit');
710     $self->delete('.cgifields');
711
712     $self->save_request unless defined $initializer;
713 }
714
715 # FUNCTIONS TO OVERRIDE:
716 # Turn a string into a filehandle
717 sub to_filehandle {
718     my $thingy = shift;
719     return undef unless $thingy;
720     return $thingy if UNIVERSAL::isa($thingy,'GLOB');
721     return $thingy if UNIVERSAL::isa($thingy,'FileHandle');
722     if (!ref($thingy)) {
723         my $caller = 1;
724         while (my $package = caller($caller++)) {
725             my($tmp) = $thingy=~/[\':]/ ? $thingy : "$package\:\:$thingy"; 
726             return $tmp if defined(fileno($tmp));
727         }
728     }
729     return undef;
730 }
731
732 # send output to the browser
733 sub put {
734     my($self,@p) = self_or_default(@_);
735     $self->print(@p);
736 }
737
738 # print to standard output (for overriding in mod_perl)
739 sub print {
740     shift;
741     CORE::print(@_);
742 }
743
744 # get/set last cgi_error
745 sub cgi_error {
746     my ($self,$err) = self_or_default(@_);
747     $self->{'.cgi_error'} = $err if defined $err;
748     return $self->{'.cgi_error'};
749 }
750
751 sub save_request {
752     my($self) = @_;
753     # We're going to play with the package globals now so that if we get called
754     # again, we initialize ourselves in exactly the same way.  This allows
755     # us to have several of these objects.
756     @QUERY_PARAM = $self->param; # save list of parameters
757     foreach (@QUERY_PARAM) {
758       next unless defined $_;
759       $QUERY_PARAM{$_}=$self->{$_};
760     }
761     $QUERY_CHARSET = $self->charset;
762     %QUERY_FIELDNAMES = %{$self->{'.fieldnames'}};
763     %QUERY_TMPFILES   = %{ $self->{'.tmpfiles'} || {} };
764 }
765
766 sub parse_params {
767     my($self,$tosplit) = @_;
768     my(@pairs) = split(/[&;]/,$tosplit);
769     my($param,$value);
770     foreach (@pairs) {
771         ($param,$value) = split('=',$_,2);
772         next unless defined $param;
773         next if $NO_UNDEF_PARAMS and not defined $value;
774         $value = '' unless defined $value;
775         $param = unescape($param);
776         $value = unescape($value);
777         $self->add_parameter($param);
778         push (@{$self->{$param}},$value);
779     }
780 }
781
782 sub add_parameter {
783     my($self,$param)=@_;
784     return unless defined $param;
785     push (@{$self->{'.parameters'}},$param) 
786         unless defined($self->{$param});
787 }
788
789 sub all_parameters {
790     my $self = shift;
791     return () unless defined($self) && $self->{'.parameters'};
792     return () unless @{$self->{'.parameters'}};
793     return @{$self->{'.parameters'}};
794 }
795
796 # put a filehandle into binary mode (DOS)
797 sub binmode {
798     return unless defined($_[1]) && defined fileno($_[1]);
799     CORE::binmode($_[1]);
800 }
801
802 sub _make_tag_func {
803     my ($self,$tagname) = @_;
804     my $func = qq(
805         sub $tagname {
806          my (\$q,\$a,\@rest) = self_or_default(\@_);
807          my(\$attr) = '';
808          if (ref(\$a) && ref(\$a) eq 'HASH') {
809             my(\@attr) = make_attributes(\$a,\$q->{'escape'});
810             \$attr = " \@attr" if \@attr;
811           } else {
812             unshift \@rest,\$a if defined \$a;
813           }
814         );
815     if ($tagname=~/start_(\w+)/i) {
816         $func .= qq! return "<\L$1\E\$attr>";} !;
817     } elsif ($tagname=~/end_(\w+)/i) {
818         $func .= qq! return "<\L/$1\E>"; } !;
819     } else {
820         $func .= qq#
821             return \$XHTML ? "\L<$tagname\E\$attr />" : "\L<$tagname\E\$attr>" unless \@rest;
822             my(\$tag,\$untag) = ("\L<$tagname\E\$attr>","\L</$tagname>\E");
823             my \@result = map { "\$tag\$_\$untag" } 
824                               (ref(\$rest[0]) eq 'ARRAY') ? \@{\$rest[0]} : "\@rest";
825             return "\@result";
826             }#;
827     }
828 return $func;
829 }
830
831 sub AUTOLOAD {
832     print STDERR "CGI::AUTOLOAD for $AUTOLOAD\n" if $CGI::AUTOLOAD_DEBUG;
833     my $func = &_compile;
834     goto &$func;
835 }
836
837 sub _compile {
838     my($func) = $AUTOLOAD;
839     my($pack,$func_name);
840     {
841         local($1,$2); # this fixes an obscure variable suicide problem.
842         $func=~/(.+)::([^:]+)$/;
843         ($pack,$func_name) = ($1,$2);
844         $pack=~s/::SUPER$//;    # fix another obscure problem
845         $pack = ${"$pack\:\:AutoloadClass"} || $CGI::DefaultClass
846             unless defined(${"$pack\:\:AUTOLOADED_ROUTINES"});
847
848         my($sub) = \%{"$pack\:\:SUBS"};
849         unless (%$sub) {
850            my($auto) = \${"$pack\:\:AUTOLOADED_ROUTINES"};
851            local ($@,$!);
852            eval "package $pack; $$auto";
853            croak("$AUTOLOAD: $@") if $@;
854            $$auto = '';  # Free the unneeded storage (but don't undef it!!!)
855        }
856        my($code) = $sub->{$func_name};
857
858        $code = "sub $AUTOLOAD { }" if (!$code and $func_name eq 'DESTROY');
859        if (!$code) {
860            (my $base = $func_name) =~ s/^(start_|end_)//i;
861            if ($EXPORT{':any'} || 
862                $EXPORT{'-any'} ||
863                $EXPORT{$base} || 
864                (%EXPORT_OK || grep(++$EXPORT_OK{$_},&expand_tags(':html')))
865                    && $EXPORT_OK{$base}) {
866                $code = $CGI::DefaultClass->_make_tag_func($func_name);
867            }
868        }
869        croak("Undefined subroutine $AUTOLOAD\n") unless $code;
870        local ($@,$!);
871        eval "package $pack; $code";
872        if ($@) {
873            $@ =~ s/ at .*\n//;
874            croak("$AUTOLOAD: $@");
875        }
876     }       
877     CORE::delete($sub->{$func_name});  #free storage
878     return "$pack\:\:$func_name";
879 }
880
881 sub _selected {
882   my $self = shift;
883   my $value = shift;
884   return '' unless $value;
885   return $XHTML ? qq(selected="selected" ) : qq(selected );
886 }
887
888 sub _checked {
889   my $self = shift;
890   my $value = shift;
891   return '' unless $value;
892   return $XHTML ? qq(checked="checked" ) : qq(checked );
893 }
894
895 sub _reset_globals { initialize_globals(); }
896
897 sub _setup_symbols {
898     my $self = shift;
899     my $compile = 0;
900
901     # to avoid reexporting unwanted variables
902     undef %EXPORT;
903
904     foreach (@_) {
905         $HEADERS_ONCE++,         next if /^[:-]unique_headers$/;
906         $NPH++,                  next if /^[:-]nph$/;
907         $NOSTICKY++,             next if /^[:-]nosticky$/;
908         $DEBUG=0,                next if /^[:-]no_?[Dd]ebug$/;
909         $DEBUG=2,                next if /^[:-][Dd]ebug$/;
910         $USE_PARAM_SEMICOLONS++, next if /^[:-]newstyle_urls$/;
911         $PARAM_UTF8++,           next if /^[:-]utf8$/;
912         $XHTML++,                next if /^[:-]xhtml$/;
913         $XHTML=0,                next if /^[:-]no_?xhtml$/;
914         $USE_PARAM_SEMICOLONS=0, next if /^[:-]oldstyle_urls$/;
915         $PRIVATE_TEMPFILES++,    next if /^[:-]private_tempfiles$/;
916         $TABINDEX++,             next if /^[:-]tabindex$/;
917         $CLOSE_UPLOAD_FILES++,   next if /^[:-]close_upload_files$/;
918         $EXPORT{$_}++,           next if /^[:-]any$/;
919         $compile++,              next if /^[:-]compile$/;
920         $NO_UNDEF_PARAMS++,      next if /^[:-]no_undef_params$/;
921         
922         # This is probably extremely evil code -- to be deleted some day.
923         if (/^[-]autoload$/) {
924             my($pkg) = caller(1);
925             *{"${pkg}::AUTOLOAD"} = sub { 
926                 my($routine) = $AUTOLOAD;
927                 $routine =~ s/^.*::/CGI::/;
928                 &$routine;
929             };
930             next;
931         }
932
933         foreach (&expand_tags($_)) {
934             tr/a-zA-Z0-9_//cd;  # don't allow weird function names
935             $EXPORT{$_}++;
936         }
937     }
938     _compile_all(keys %EXPORT) if $compile;
939     @SAVED_SYMBOLS = @_;
940 }
941
942 sub charset {
943   my ($self,$charset) = self_or_default(@_);
944   $self->{'.charset'} = $charset if defined $charset;
945   $self->{'.charset'};
946 }
947
948 sub element_id {
949   my ($self,$new_value) = self_or_default(@_);
950   $self->{'.elid'} = $new_value if defined $new_value;
951   sprintf('%010d',$self->{'.elid'}++);
952 }
953
954 sub element_tab {
955   my ($self,$new_value) = self_or_default(@_);
956   $self->{'.etab'} ||= 1;
957   $self->{'.etab'} = $new_value if defined $new_value;
958   my $tab = $self->{'.etab'}++;
959   return '' unless $TABINDEX or defined $new_value;
960   return qq(tabindex="$tab" );
961 }
962
963 ###############################################################################
964 ################# THESE FUNCTIONS ARE AUTOLOADED ON DEMAND ####################
965 ###############################################################################
966 $AUTOLOADED_ROUTINES = '';      # get rid of -w warning
967 $AUTOLOADED_ROUTINES=<<'END_OF_AUTOLOAD';
968
969 %SUBS = (
970
971 'URL_ENCODED'=> <<'END_OF_FUNC',
972 sub URL_ENCODED { 'application/x-www-form-urlencoded'; }
973 END_OF_FUNC
974
975 'MULTIPART' => <<'END_OF_FUNC',
976 sub MULTIPART {  'multipart/form-data'; }
977 END_OF_FUNC
978
979 'SERVER_PUSH' => <<'END_OF_FUNC',
980 sub SERVER_PUSH { 'multipart/x-mixed-replace;boundary="' . shift() . '"'; }
981 END_OF_FUNC
982
983 'new_MultipartBuffer' => <<'END_OF_FUNC',
984 # Create a new multipart buffer
985 sub new_MultipartBuffer {
986     my($self,$boundary,$length) = @_;
987     return MultipartBuffer->new($self,$boundary,$length);
988 }
989 END_OF_FUNC
990
991 'read_from_client' => <<'END_OF_FUNC',
992 # Read data from a file handle
993 sub read_from_client {
994     my($self, $buff, $len, $offset) = @_;
995     local $^W=0;                # prevent a warning
996     return $MOD_PERL
997         ? $self->r->read($$buff, $len, $offset)
998         : read(\*STDIN, $$buff, $len, $offset);
999 }
1000 END_OF_FUNC
1001
1002 'delete' => <<'END_OF_FUNC',
1003 #### Method: delete
1004 # Deletes the named parameter entirely.
1005 ####
1006 sub delete {
1007     my($self,@p) = self_or_default(@_);
1008     my(@names) = rearrange([NAME],@p);
1009     my @to_delete = ref($names[0]) eq 'ARRAY' ? @$names[0] : @names;
1010     my %to_delete;
1011     foreach my $name (@to_delete)
1012     {
1013         CORE::delete $self->{$name};
1014         CORE::delete $self->{'.fieldnames'}->{$name};
1015         $to_delete{$name}++;
1016     }
1017     @{$self->{'.parameters'}}=grep { !exists($to_delete{$_}) } $self->param();
1018     return;
1019 }
1020 END_OF_FUNC
1021
1022 #### Method: import_names
1023 # Import all parameters into the given namespace.
1024 # Assumes namespace 'Q' if not specified
1025 ####
1026 'import_names' => <<'END_OF_FUNC',
1027 sub import_names {
1028     my($self,$namespace,$delete) = self_or_default(@_);
1029     $namespace = 'Q' unless defined($namespace);
1030     die "Can't import names into \"main\"\n" if \%{"${namespace}::"} == \%::;
1031     if ($delete || $MOD_PERL || exists $ENV{'FCGI_ROLE'}) {
1032         # can anyone find an easier way to do this?
1033         foreach (keys %{"${namespace}::"}) {
1034             local *symbol = "${namespace}::${_}";
1035             undef $symbol;
1036             undef @symbol;
1037             undef %symbol;
1038         }
1039     }
1040     my($param,@value,$var);
1041     foreach $param ($self->param) {
1042         # protect against silly names
1043         ($var = $param)=~tr/a-zA-Z0-9_/_/c;
1044         $var =~ s/^(?=\d)/_/;
1045         local *symbol = "${namespace}::$var";
1046         @value = $self->param($param);
1047         @symbol = @value;
1048         $symbol = $value[0];
1049     }
1050 }
1051 END_OF_FUNC
1052
1053 #### Method: keywords
1054 # Keywords acts a bit differently.  Calling it in a list context
1055 # returns the list of keywords.  
1056 # Calling it in a scalar context gives you the size of the list.
1057 ####
1058 'keywords' => <<'END_OF_FUNC',
1059 sub keywords {
1060     my($self,@values) = self_or_default(@_);
1061     # If values is provided, then we set it.
1062     $self->{'keywords'}=[@values] if @values;
1063     my(@result) = defined($self->{'keywords'}) ? @{$self->{'keywords'}} : ();
1064     @result;
1065 }
1066 END_OF_FUNC
1067
1068 # These are some tie() interfaces for compatibility
1069 # with Steve Brenner's cgi-lib.pl routines
1070 'Vars' => <<'END_OF_FUNC',
1071 sub Vars {
1072     my $q = shift;
1073     my %in;
1074     tie(%in,CGI,$q);
1075     return %in if wantarray;
1076     return \%in;
1077 }
1078 END_OF_FUNC
1079
1080 # These are some tie() interfaces for compatibility
1081 # with Steve Brenner's cgi-lib.pl routines
1082 'ReadParse' => <<'END_OF_FUNC',
1083 sub ReadParse {
1084     local(*in);
1085     if (@_) {
1086         *in = $_[0];
1087     } else {
1088         my $pkg = caller();
1089         *in=*{"${pkg}::in"};
1090     }
1091     tie(%in,CGI);
1092     return scalar(keys %in);
1093 }
1094 END_OF_FUNC
1095
1096 'PrintHeader' => <<'END_OF_FUNC',
1097 sub PrintHeader {
1098     my($self) = self_or_default(@_);
1099     return $self->header();
1100 }
1101 END_OF_FUNC
1102
1103 'HtmlTop' => <<'END_OF_FUNC',
1104 sub HtmlTop {
1105     my($self,@p) = self_or_default(@_);
1106     return $self->start_html(@p);
1107 }
1108 END_OF_FUNC
1109
1110 'HtmlBot' => <<'END_OF_FUNC',
1111 sub HtmlBot {
1112     my($self,@p) = self_or_default(@_);
1113     return $self->end_html(@p);
1114 }
1115 END_OF_FUNC
1116
1117 'SplitParam' => <<'END_OF_FUNC',
1118 sub SplitParam {
1119     my ($param) = @_;
1120     my (@params) = split ("\0", $param);
1121     return (wantarray ? @params : $params[0]);
1122 }
1123 END_OF_FUNC
1124
1125 'MethGet' => <<'END_OF_FUNC',
1126 sub MethGet {
1127     return request_method() eq 'GET';
1128 }
1129 END_OF_FUNC
1130
1131 'MethPost' => <<'END_OF_FUNC',
1132 sub MethPost {
1133     return request_method() eq 'POST';
1134 }
1135 END_OF_FUNC
1136
1137 'TIEHASH' => <<'END_OF_FUNC',
1138 sub TIEHASH {
1139     my $class = shift;
1140     my $arg   = $_[0];
1141     if (ref($arg) && UNIVERSAL::isa($arg,'CGI')) {
1142        return $arg;
1143     }
1144     return $Q ||= $class->new(@_);
1145 }
1146 END_OF_FUNC
1147
1148 'STORE' => <<'END_OF_FUNC',
1149 sub STORE {
1150     my $self = shift;
1151     my $tag  = shift;
1152     my $vals = shift;
1153     my @vals = index($vals,"\0")!=-1 ? split("\0",$vals) : $vals;
1154     $self->param(-name=>$tag,-value=>\@vals);
1155 }
1156 END_OF_FUNC
1157
1158 'FETCH' => <<'END_OF_FUNC',
1159 sub FETCH {
1160     return $_[0] if $_[1] eq 'CGI';
1161     return undef unless defined $_[0]->param($_[1]);
1162     return join("\0",$_[0]->param($_[1]));
1163 }
1164 END_OF_FUNC
1165
1166 'FIRSTKEY' => <<'END_OF_FUNC',
1167 sub FIRSTKEY {
1168     $_[0]->{'.iterator'}=0;
1169     $_[0]->{'.parameters'}->[$_[0]->{'.iterator'}++];
1170 }
1171 END_OF_FUNC
1172
1173 'NEXTKEY' => <<'END_OF_FUNC',
1174 sub NEXTKEY {
1175     $_[0]->{'.parameters'}->[$_[0]->{'.iterator'}++];
1176 }
1177 END_OF_FUNC
1178
1179 'EXISTS' => <<'END_OF_FUNC',
1180 sub EXISTS {
1181     exists $_[0]->{$_[1]};
1182 }
1183 END_OF_FUNC
1184
1185 'DELETE' => <<'END_OF_FUNC',
1186 sub DELETE {
1187     $_[0]->delete($_[1]);
1188 }
1189 END_OF_FUNC
1190
1191 'CLEAR' => <<'END_OF_FUNC',
1192 sub CLEAR {
1193     %{$_[0]}=();
1194 }
1195 ####
1196 END_OF_FUNC
1197
1198 ####
1199 # Append a new value to an existing query
1200 ####
1201 'append' => <<'EOF',
1202 sub append {
1203     my($self,@p) = self_or_default(@_);
1204     my($name,$value) = rearrange([NAME,[VALUE,VALUES]],@p);
1205     my(@values) = defined($value) ? (ref($value) ? @{$value} : $value) : ();
1206     if (@values) {
1207         $self->add_parameter($name);
1208         push(@{$self->{$name}},@values);
1209     }
1210     return $self->param($name);
1211 }
1212 EOF
1213
1214 #### Method: delete_all
1215 # Delete all parameters
1216 ####
1217 'delete_all' => <<'EOF',
1218 sub delete_all {
1219     my($self) = self_or_default(@_);
1220     my @param = $self->param();
1221     $self->delete(@param);
1222 }
1223 EOF
1224
1225 'Delete' => <<'EOF',
1226 sub Delete {
1227     my($self,@p) = self_or_default(@_);
1228     $self->delete(@p);
1229 }
1230 EOF
1231
1232 'Delete_all' => <<'EOF',
1233 sub Delete_all {
1234     my($self,@p) = self_or_default(@_);
1235     $self->delete_all(@p);
1236 }
1237 EOF
1238
1239 #### Method: autoescape
1240 # If you want to turn off the autoescaping features,
1241 # call this method with undef as the argument
1242 'autoEscape' => <<'END_OF_FUNC',
1243 sub autoEscape {
1244     my($self,$escape) = self_or_default(@_);
1245     my $d = $self->{'escape'};
1246     $self->{'escape'} = $escape;
1247     $d;
1248 }
1249 END_OF_FUNC
1250
1251
1252 #### Method: version
1253 # Return the current version
1254 ####
1255 'version' => <<'END_OF_FUNC',
1256 sub version {
1257     return $VERSION;
1258 }
1259 END_OF_FUNC
1260
1261 #### Method: url_param
1262 # Return a parameter in the QUERY_STRING, regardless of
1263 # whether this was a POST or a GET
1264 ####
1265 'url_param' => <<'END_OF_FUNC',
1266 sub url_param {
1267     my ($self,@p) = self_or_default(@_);
1268     my $name = shift(@p);
1269     return undef unless exists($ENV{QUERY_STRING});
1270     unless (exists($self->{'.url_param'})) {
1271         $self->{'.url_param'}={}; # empty hash
1272         if ($ENV{QUERY_STRING} =~ /=/) {
1273             my(@pairs) = split(/[&;]/,$ENV{QUERY_STRING});
1274             my($param,$value);
1275             foreach (@pairs) {
1276                 ($param,$value) = split('=',$_,2);
1277                 $param = unescape($param);
1278                 $value = unescape($value);
1279                 push(@{$self->{'.url_param'}->{$param}},$value);
1280             }
1281         } else {
1282             $self->{'.url_param'}->{'keywords'} = [$self->parse_keywordlist($ENV{QUERY_STRING})];
1283         }
1284     }
1285     return keys %{$self->{'.url_param'}} unless defined($name);
1286     return () unless $self->{'.url_param'}->{$name};
1287     return wantarray ? @{$self->{'.url_param'}->{$name}}
1288                      : $self->{'.url_param'}->{$name}->[0];
1289 }
1290 END_OF_FUNC
1291
1292 #### Method: Dump
1293 # Returns a string in which all the known parameter/value 
1294 # pairs are represented as nested lists, mainly for the purposes 
1295 # of debugging.
1296 ####
1297 'Dump' => <<'END_OF_FUNC',
1298 sub Dump {
1299     my($self) = self_or_default(@_);
1300     my($param,$value,@result);
1301     return '<ul></ul>' unless $self->param;
1302     push(@result,"<ul>");
1303     foreach $param ($self->param) {
1304         my($name)=$self->escapeHTML($param);
1305         push(@result,"<li><strong>$param</strong></li>");
1306         push(@result,"<ul>");
1307         foreach $value ($self->param($param)) {
1308             $value = $self->escapeHTML($value);
1309             $value =~ s/\n/<br \/>\n/g;
1310             push(@result,"<li>$value</li>");
1311         }
1312         push(@result,"</ul>");
1313     }
1314     push(@result,"</ul>");
1315     return join("\n",@result);
1316 }
1317 END_OF_FUNC
1318
1319 #### Method as_string
1320 #
1321 # synonym for "dump"
1322 ####
1323 'as_string' => <<'END_OF_FUNC',
1324 sub as_string {
1325     &Dump(@_);
1326 }
1327 END_OF_FUNC
1328
1329 #### Method: save
1330 # Write values out to a filehandle in such a way that they can
1331 # be reinitialized by the filehandle form of the new() method
1332 ####
1333 'save' => <<'END_OF_FUNC',
1334 sub save {
1335     my($self,$filehandle) = self_or_default(@_);
1336     $filehandle = to_filehandle($filehandle);
1337     my($param);
1338     local($,) = '';  # set print field separator back to a sane value
1339     local($\) = '';  # set output line separator to a sane value
1340     foreach $param ($self->param) {
1341         my($escaped_param) = escape($param);
1342         my($value);
1343         foreach $value ($self->param($param)) {
1344             print $filehandle "$escaped_param=",escape("$value"),"\n";
1345         }
1346     }
1347     foreach (keys %{$self->{'.fieldnames'}}) {
1348           print $filehandle ".cgifields=",escape("$_"),"\n";
1349     }
1350     print $filehandle "=\n";    # end of record
1351 }
1352 END_OF_FUNC
1353
1354
1355 #### Method: save_parameters
1356 # An alias for save() that is a better name for exportation.
1357 # Only intended to be used with the function (non-OO) interface.
1358 ####
1359 'save_parameters' => <<'END_OF_FUNC',
1360 sub save_parameters {
1361     my $fh = shift;
1362     return save(to_filehandle($fh));
1363 }
1364 END_OF_FUNC
1365
1366 #### Method: restore_parameters
1367 # A way to restore CGI parameters from an initializer.
1368 # Only intended to be used with the function (non-OO) interface.
1369 ####
1370 'restore_parameters' => <<'END_OF_FUNC',
1371 sub restore_parameters {
1372     $Q = $CGI::DefaultClass->new(@_);
1373 }
1374 END_OF_FUNC
1375
1376 #### Method: multipart_init
1377 # Return a Content-Type: style header for server-push
1378 # This has to be NPH on most web servers, and it is advisable to set $| = 1
1379 #
1380 # Many thanks to Ed Jordan <ed@fidalgo.net> for this
1381 # contribution, updated by Andrew Benham (adsb@bigfoot.com)
1382 ####
1383 'multipart_init' => <<'END_OF_FUNC',
1384 sub multipart_init {
1385     my($self,@p) = self_or_default(@_);
1386     my($boundary,@other) = rearrange([BOUNDARY],@p);
1387     $boundary = $boundary || '------- =_aaaaaaaaaa0';
1388     $self->{'separator'} = "$CRLF--$boundary$CRLF";
1389     $self->{'final_separator'} = "$CRLF--$boundary--$CRLF";
1390     $type = SERVER_PUSH($boundary);
1391     return $self->header(
1392         -nph => 0,
1393         -type => $type,
1394         (map { split "=", $_, 2 } @other),
1395     ) . "WARNING: YOUR BROWSER DOESN'T SUPPORT THIS SERVER-PUSH TECHNOLOGY." . $self->multipart_end;
1396 }
1397 END_OF_FUNC
1398
1399
1400 #### Method: multipart_start
1401 # Return a Content-Type: style header for server-push, start of section
1402 #
1403 # Many thanks to Ed Jordan <ed@fidalgo.net> for this
1404 # contribution, updated by Andrew Benham (adsb@bigfoot.com)
1405 ####
1406 'multipart_start' => <<'END_OF_FUNC',
1407 sub multipart_start {
1408     my(@header);
1409     my($self,@p) = self_or_default(@_);
1410     my($type,@other) = rearrange([TYPE],@p);
1411     $type = $type || 'text/html';
1412     push(@header,"Content-Type: $type");
1413
1414     # rearrange() was designed for the HTML portion, so we
1415     # need to fix it up a little.
1416     foreach (@other) {
1417         # Don't use \s because of perl bug 21951
1418         next unless my($header,$value) = /([^ \r\n\t=]+)=\"?(.+?)\"?$/;
1419         ($_ = $header) =~ s/^(\w)(.*)/$1 . lc ($2) . ': '.$self->unescapeHTML($value)/e;
1420     }
1421     push(@header,@other);
1422     my $header = join($CRLF,@header)."${CRLF}${CRLF}";
1423     return $header;
1424 }
1425 END_OF_FUNC
1426
1427
1428 #### Method: multipart_end
1429 # Return a MIME boundary separator for server-push, end of section
1430 #
1431 # Many thanks to Ed Jordan <ed@fidalgo.net> for this
1432 # contribution
1433 ####
1434 'multipart_end' => <<'END_OF_FUNC',
1435 sub multipart_end {
1436     my($self,@p) = self_or_default(@_);
1437     return $self->{'separator'};
1438 }
1439 END_OF_FUNC
1440
1441
1442 #### Method: multipart_final
1443 # Return a MIME boundary separator for server-push, end of all sections
1444 #
1445 # Contributed by Andrew Benham (adsb@bigfoot.com)
1446 ####
1447 'multipart_final' => <<'END_OF_FUNC',
1448 sub multipart_final {
1449     my($self,@p) = self_or_default(@_);
1450     return $self->{'final_separator'} . "WARNING: YOUR BROWSER DOESN'T SUPPORT THIS SERVER-PUSH TECHNOLOGY." . $CRLF;
1451 }
1452 END_OF_FUNC
1453
1454
1455 #### Method: header
1456 # Return a Content-Type: style header
1457 #
1458 ####
1459 'header' => <<'END_OF_FUNC',
1460 sub header {
1461     my($self,@p) = self_or_default(@_);
1462     my(@header);
1463
1464     return "" if $self->{'.header_printed'}++ and $HEADERS_ONCE;
1465
1466     my($type,$status,$cookie,$target,$expires,$nph,$charset,$attachment,$p3p,@other) = 
1467         rearrange([['TYPE','CONTENT_TYPE','CONTENT-TYPE'],
1468                             'STATUS',['COOKIE','COOKIES'],'TARGET',
1469                             'EXPIRES','NPH','CHARSET',
1470                             'ATTACHMENT','P3P'],@p);
1471
1472     $nph     ||= $NPH;
1473
1474     $type ||= 'text/html' unless defined($type);
1475
1476     if (defined $charset) {
1477       $self->charset($charset);
1478     } else {
1479       $charset = $self->charset if $type =~ /^text\//;
1480     }
1481    $charset ||= '';
1482
1483     # rearrange() was designed for the HTML portion, so we
1484     # need to fix it up a little.
1485     foreach (@other) {
1486         # Don't use \s because of perl bug 21951
1487         next unless my($header,$value) = /([^ \r\n\t=]+)=\"?(.+?)\"?$/;
1488         ($_ = $header) =~ s/^(\w)(.*)/"\u$1\L$2" . ': '.$self->unescapeHTML($value)/e;
1489     }
1490
1491     $type .= "; charset=$charset"
1492       if     $type ne ''
1493          and $type !~ /\bcharset\b/
1494          and defined $charset
1495          and $charset ne '';
1496
1497     # Maybe future compatibility.  Maybe not.
1498     my $protocol = $ENV{SERVER_PROTOCOL} || 'HTTP/1.0';
1499     push(@header,$protocol . ' ' . ($status || '200 OK')) if $nph;
1500     push(@header,"Server: " . &server_software()) if $nph;
1501
1502     push(@header,"Status: $status") if $status;
1503     push(@header,"Window-Target: $target") if $target;
1504     if ($p3p) {
1505        $p3p = join ' ',@$p3p if ref($p3p) eq 'ARRAY';
1506        push(@header,qq(P3P: policyref="/w3c/p3p.xml", CP="$p3p"));
1507     }
1508     # push all the cookies -- there may be several
1509     if ($cookie) {
1510         my(@cookie) = ref($cookie) && ref($cookie) eq 'ARRAY' ? @{$cookie} : $cookie;
1511         foreach (@cookie) {
1512             my $cs = UNIVERSAL::isa($_,'CGI::Cookie') ? $_->as_string : $_;
1513             push(@header,"Set-Cookie: $cs") if $cs ne '';
1514         }
1515     }
1516     # if the user indicates an expiration time, then we need
1517     # both an Expires and a Date header (so that the browser is
1518     # uses OUR clock)
1519     push(@header,"Expires: " . expires($expires,'http'))
1520         if $expires;
1521     push(@header,"Date: " . expires(0,'http')) if $expires || $cookie || $nph;
1522     push(@header,"Pragma: no-cache") if $self->cache();
1523     push(@header,"Content-Disposition: attachment; filename=\"$attachment\"") if $attachment;
1524     push(@header,map {ucfirst $_} @other);
1525     push(@header,"Content-Type: $type") if $type ne '';
1526     my $header = join($CRLF,@header)."${CRLF}${CRLF}";
1527     if (($MOD_PERL >= 1) && !$nph) {
1528         $self->r->send_cgi_header($header);
1529         return '';
1530     }
1531     return $header;
1532 }
1533 END_OF_FUNC
1534
1535
1536 #### Method: cache
1537 # Control whether header() will produce the no-cache
1538 # Pragma directive.
1539 ####
1540 'cache' => <<'END_OF_FUNC',
1541 sub cache {
1542     my($self,$new_value) = self_or_default(@_);
1543     $new_value = '' unless $new_value;
1544     if ($new_value ne '') {
1545         $self->{'cache'} = $new_value;
1546     }
1547     return $self->{'cache'};
1548 }
1549 END_OF_FUNC
1550
1551
1552 #### Method: redirect
1553 # Return a Location: style header
1554 #
1555 ####
1556 'redirect' => <<'END_OF_FUNC',
1557 sub redirect {
1558     my($self,@p) = self_or_default(@_);
1559     my($url,$target,$status,$cookie,$nph,@other) = 
1560          rearrange([[LOCATION,URI,URL],TARGET,STATUS,['COOKIE','COOKIES'],NPH],@p);
1561     $status = '302 Found' unless defined $status;
1562     $url ||= $self->self_url;
1563     my(@o);
1564     foreach (@other) { tr/\"//d; push(@o,split("=",$_,2)); }
1565     unshift(@o,
1566          '-Status'  => $status,
1567          '-Location'=> $url,
1568          '-nph'     => $nph);
1569     unshift(@o,'-Target'=>$target) if $target;
1570     unshift(@o,'-Type'=>'');
1571     my @unescaped;
1572     unshift(@unescaped,'-Cookie'=>$cookie) if $cookie;
1573     return $self->header((map {$self->unescapeHTML($_)} @o),@unescaped);
1574 }
1575 END_OF_FUNC
1576
1577
1578 #### Method: start_html
1579 # Canned HTML header
1580 #
1581 # Parameters:
1582 # $title -> (optional) The title for this HTML document (-title)
1583 # $author -> (optional) e-mail address of the author (-author)
1584 # $base -> (optional) if set to true, will enter the BASE address of this document
1585 #          for resolving relative references (-base) 
1586 # $xbase -> (optional) alternative base at some remote location (-xbase)
1587 # $target -> (optional) target window to load all links into (-target)
1588 # $script -> (option) Javascript code (-script)
1589 # $no_script -> (option) Javascript <noscript> tag (-noscript)
1590 # $meta -> (optional) Meta information tags
1591 # $head -> (optional) any other elements you'd like to incorporate into the <head> tag
1592 #           (a scalar or array ref)
1593 # $style -> (optional) reference to an external style sheet
1594 # @other -> (optional) any other named parameters you'd like to incorporate into
1595 #           the <body> tag.
1596 ####
1597 'start_html' => <<'END_OF_FUNC',
1598 sub start_html {
1599     my($self,@p) = &self_or_default(@_);
1600     my($title,$author,$base,$xbase,$script,$noscript,
1601         $target,$meta,$head,$style,$dtd,$lang,$encoding,$declare_xml,@other) = 
1602         rearrange([TITLE,AUTHOR,BASE,XBASE,SCRIPT,NOSCRIPT,TARGET,
1603                    META,HEAD,STYLE,DTD,LANG,ENCODING,DECLARE_XML],@p);
1604
1605     $self->element_id(0);
1606     $self->element_tab(0);
1607
1608     $encoding = lc($self->charset) unless defined $encoding;
1609
1610     # Need to sort out the DTD before it's okay to call escapeHTML().
1611     my(@result,$xml_dtd);
1612     if ($dtd) {
1613         if (defined(ref($dtd)) and (ref($dtd) eq 'ARRAY')) {
1614             $dtd = $DEFAULT_DTD unless $dtd->[0] =~ m|^-//|;
1615         } else {
1616             $dtd = $DEFAULT_DTD unless $dtd =~ m|^-//|;
1617         }
1618     } else {
1619         $dtd = $XHTML ? XHTML_DTD : $DEFAULT_DTD;
1620     }
1621
1622     $xml_dtd++ if ref($dtd) eq 'ARRAY' && $dtd->[0] =~ /\bXHTML\b/i;
1623     $xml_dtd++ if ref($dtd) eq '' && $dtd =~ /\bXHTML\b/i;
1624     push @result,qq(<?xml version="1.0" encoding="$encoding"?>) if $xml_dtd && $declare_xml;
1625
1626     if (ref($dtd) && ref($dtd) eq 'ARRAY') {
1627         push(@result,qq(<!DOCTYPE html\n\tPUBLIC "$dtd->[0]"\n\t "$dtd->[1]">));
1628         $DTD_PUBLIC_IDENTIFIER = $dtd->[0];
1629     } else {
1630         push(@result,qq(<!DOCTYPE html\n\tPUBLIC "$dtd">));
1631         $DTD_PUBLIC_IDENTIFIER = $dtd;
1632     }
1633
1634     # Now that we know whether we're using the HTML 3.2 DTD or not, it's okay to
1635     # call escapeHTML().  Strangely enough, the title needs to be escaped as
1636     # HTML while the author needs to be escaped as a URL.
1637     $title = $self->escapeHTML($title || 'Untitled Document');
1638     $author = $self->escape($author);
1639
1640     if ($DTD_PUBLIC_IDENTIFIER =~ /[^X]HTML (2\.0|3\.2)/i) {
1641         $lang = "" unless defined $lang;
1642         $XHTML = 0;
1643     }
1644     else {
1645         $lang = 'en-US' unless defined $lang;
1646     }
1647
1648     my $lang_bits = $lang ne '' ? qq( lang="$lang" xml:lang="$lang") : '';
1649     my $meta_bits = qq(<meta http-equiv="Content-Type" content="text/html; charset=$encoding" />) 
1650                     if $XHTML && $encoding && !$declare_xml;
1651
1652     push(@result,$XHTML ? qq(<html xmlns="http://www.w3.org/1999/xhtml"$lang_bits>\n<head>\n<title>$title</title>)
1653                         : ($lang ? qq(<html lang="$lang">) : "<html>")
1654                           . "<head><title>$title</title>");
1655         if (defined $author) {
1656     push(@result,$XHTML ? "<link rev=\"made\" href=\"mailto:$author\" />"
1657                         : "<link rev=\"made\" href=\"mailto:$author\">");
1658         }
1659
1660     if ($base || $xbase || $target) {
1661         my $href = $xbase || $self->url('-path'=>1);
1662         my $t = $target ? qq/ target="$target"/ : '';
1663         push(@result,$XHTML ? qq(<base href="$href"$t />) : qq(<base href="$href"$t>));
1664     }
1665
1666     if ($meta && ref($meta) && (ref($meta) eq 'HASH')) {
1667         foreach (keys %$meta) { push(@result,$XHTML ? qq(<meta name="$_" content="$meta->{$_}" />) 
1668                         : qq(<meta name="$_" content="$meta->{$_}">)); }
1669     }
1670
1671     push(@result,ref($head) ? @$head : $head) if $head;
1672
1673     # handle the infrequently-used -style and -script parameters
1674     push(@result,$self->_style($style))   if defined $style;
1675     push(@result,$self->_script($script)) if defined $script;
1676     push(@result,$meta_bits)              if defined $meta_bits;
1677
1678     # handle -noscript parameter
1679     push(@result,<<END) if $noscript;
1680 <noscript>
1681 $noscript
1682 </noscript>
1683 END
1684     ;
1685     my($other) = @other ? " @other" : '';
1686     push(@result,"</head>\n<body$other>\n");
1687     return join("\n",@result);
1688 }
1689 END_OF_FUNC
1690
1691 ### Method: _style
1692 # internal method for generating a CSS style section
1693 ####
1694 '_style' => <<'END_OF_FUNC',
1695 sub _style {
1696     my ($self,$style) = @_;
1697     my (@result);
1698
1699     my $type = 'text/css';
1700     my $rel  = 'stylesheet';
1701
1702
1703     my $cdata_start = $XHTML ? "\n<!--/* <![CDATA[ */" : "\n<!-- ";
1704     my $cdata_end   = $XHTML ? "\n/* ]]> */-->\n" : " -->\n";
1705
1706     my @s = ref($style) eq 'ARRAY' ? @$style : $style;
1707     my $other = '';
1708
1709     for my $s (@s) {
1710       if (ref($s)) {
1711        my($src,$code,$verbatim,$stype,$alternate,$foo,@other) =
1712            rearrange([qw(SRC CODE VERBATIM TYPE ALTERNATE FOO)],
1713                       ('-foo'=>'bar',
1714                        ref($s) eq 'ARRAY' ? @$s : %$s));
1715        my $type = defined $stype ? $stype : 'text/css';
1716        my $rel  = $alternate ? 'alternate stylesheet' : 'stylesheet';
1717        $other = "@other" if @other;
1718
1719        if (ref($src) eq "ARRAY") # Check to see if the $src variable is an array reference
1720        { # If it is, push a LINK tag for each one
1721            foreach $src (@$src)
1722          {
1723            push(@result,$XHTML ? qq(<link rel="$rel" type="$type" href="$src" $other/>)
1724                              : qq(<link rel="$rel" type="$type" href="$src"$other>)) if $src;
1725          }
1726        }
1727        else
1728        { # Otherwise, push the single -src, if it exists.
1729          push(@result,$XHTML ? qq(<link rel="$rel" type="$type" href="$src" $other/>)
1730                              : qq(<link rel="$rel" type="$type" href="$src"$other>)
1731               ) if $src;
1732         }
1733      if ($verbatim) {
1734            my @v = ref($verbatim) eq 'ARRAY' ? @$verbatim : $verbatim;
1735            push(@result, "<style type=\"text/css\">\n$_\n</style>") foreach @v;
1736       }
1737       my @c = ref($code) eq 'ARRAY' ? @$code : $code if $code;
1738       push(@result,style({'type'=>$type},"$cdata_start\n$_\n$cdata_end")) foreach @c;
1739
1740       } else {
1741            my $src = $s;
1742            push(@result,$XHTML ? qq(<link rel="$rel" type="$type" href="$src" $other/>)
1743                                : qq(<link rel="$rel" type="$type" href="$src"$other>));
1744       }
1745     }
1746     @result;
1747 }
1748 END_OF_FUNC
1749
1750 '_script' => <<'END_OF_FUNC',
1751 sub _script {
1752     my ($self,$script) = @_;
1753     my (@result);
1754
1755     my (@scripts) = ref($script) eq 'ARRAY' ? @$script : ($script);
1756     foreach $script (@scripts) {
1757         my($src,$code,$language);
1758         if (ref($script)) { # script is a hash
1759             ($src,$code,$type) =
1760                 rearrange(['SRC','CODE',['LANGUAGE','TYPE']],
1761                                  '-foo'=>'bar', # a trick to allow the '-' to be omitted
1762                                  ref($script) eq 'ARRAY' ? @$script : %$script);
1763             $type ||= 'text/javascript';
1764             unless ($type =~ m!\w+/\w+!) {
1765                 $type =~ s/[\d.]+$//;
1766                 $type = "text/$type";
1767             }
1768         } else {
1769             ($src,$code,$type) = ('',$script, 'text/javascript');
1770         }
1771
1772     my $comment = '//';  # javascript by default
1773     $comment = '#' if $type=~/perl|tcl/i;
1774     $comment = "'" if $type=~/vbscript/i;
1775
1776     my ($cdata_start,$cdata_end);
1777     if ($XHTML) {
1778        $cdata_start    = "$comment<![CDATA[\n";
1779        $cdata_end     .= "\n$comment]]>";
1780     } else {
1781        $cdata_start  =  "\n<!-- Hide script\n";
1782        $cdata_end    = $comment;
1783        $cdata_end   .= " End script hiding -->\n";
1784    }
1785      my(@satts);
1786      push(@satts,'src'=>$src) if $src;
1787      push(@satts,'type'=>$type);
1788      $code = $cdata_start . $code . $cdata_end if defined $code;
1789      push(@result,$self->script({@satts},$code || ''));
1790     }
1791     @result;
1792 }
1793 END_OF_FUNC
1794
1795 #### Method: end_html
1796 # End an HTML document.
1797 # Trivial method for completeness.  Just returns "</body>"
1798 ####
1799 'end_html' => <<'END_OF_FUNC',
1800 sub end_html {
1801     return "\n</body>\n</html>";
1802 }
1803 END_OF_FUNC
1804
1805
1806 ################################
1807 # METHODS USED IN BUILDING FORMS
1808 ################################
1809
1810 #### Method: isindex
1811 # Just prints out the isindex tag.
1812 # Parameters:
1813 #  $action -> optional URL of script to run
1814 # Returns:
1815 #   A string containing a <isindex> tag
1816 'isindex' => <<'END_OF_FUNC',
1817 sub isindex {
1818     my($self,@p) = self_or_default(@_);
1819     my($action,@other) = rearrange([ACTION],@p);
1820     $action = qq/ action="$action"/ if $action;
1821     my($other) = @other ? " @other" : '';
1822     return $XHTML ? "<isindex$action$other />" : "<isindex$action$other>";
1823 }
1824 END_OF_FUNC
1825
1826
1827 #### Method: startform
1828 # Start a form
1829 # Parameters:
1830 #   $method -> optional submission method to use (GET or POST)
1831 #   $action -> optional URL of script to run
1832 #   $enctype ->encoding to use (URL_ENCODED or MULTIPART)
1833 'startform' => <<'END_OF_FUNC',
1834 sub startform {
1835     my($self,@p) = self_or_default(@_);
1836
1837     my($method,$action,$enctype,@other) = 
1838         rearrange([METHOD,ACTION,ENCTYPE],@p);
1839
1840     $method  = $self->escapeHTML(($method) ? lc($method) : 'post');
1841     $enctype = $self->escapeHTML($enctype || &URL_ENCODED);
1842     if (defined $action) {
1843        $action = $self->escapeHTML($action);
1844     }
1845     else {
1846        $action = $self->escapeHTML($self->request_uri || $self->self_url);
1847     }
1848     $action = qq(action="$action");
1849     my($other) = @other ? " @other" : '';
1850     $self->{'.parametersToAdd'}={};
1851     return qq/<form method="$method" $action enctype="$enctype"$other>\n/;
1852 }
1853 END_OF_FUNC
1854
1855
1856 #### Method: start_form
1857 # synonym for startform
1858 'start_form' => <<'END_OF_FUNC',
1859 sub start_form {
1860     $XHTML ? &start_multipart_form : &startform;
1861 }
1862 END_OF_FUNC
1863
1864 'end_multipart_form' => <<'END_OF_FUNC',
1865 sub end_multipart_form {
1866     &endform;
1867 }
1868 END_OF_FUNC
1869
1870 #### Method: start_multipart_form
1871 # synonym for startform
1872 'start_multipart_form' => <<'END_OF_FUNC',
1873 sub start_multipart_form {
1874     my($self,@p) = self_or_default(@_);
1875     if (defined($p[0]) && substr($p[0],0,1) eq '-') {
1876       return $self->startform(-enctype=>&MULTIPART,@p);
1877     } else {
1878         my($method,$action,@other) = 
1879             rearrange([METHOD,ACTION],@p);
1880         return $self->startform($method,$action,&MULTIPART,@other);
1881     }
1882 }
1883 END_OF_FUNC
1884
1885
1886 #### Method: endform
1887 # End a form
1888 'endform' => <<'END_OF_FUNC',
1889 sub endform {
1890     my($self,@p) = self_or_default(@_);
1891     if ( $NOSTICKY ) {
1892     return wantarray ? ("</form>") : "\n</form>";
1893     } else {
1894       if (my @fields = $self->get_fields) {
1895          return wantarray ? ("<div>",@fields,"</div>","</form>")
1896                           : "<div>".(join '',@fields)."</div>\n</form>";
1897       } else {
1898          return "</form>";
1899       }
1900     }
1901 }
1902 END_OF_FUNC
1903
1904
1905 '_textfield' => <<'END_OF_FUNC',
1906 sub _textfield {
1907     my($self,$tag,@p) = self_or_default(@_);
1908     my($name,$default,$size,$maxlength,$override,$tabindex,@other) = 
1909         rearrange([NAME,[DEFAULT,VALUE,VALUES],SIZE,MAXLENGTH,[OVERRIDE,FORCE],TABINDEX],@p);
1910
1911     my $current = $override ? $default : 
1912         (defined($self->param($name)) ? $self->param($name) : $default);
1913
1914     $current = defined($current) ? $self->escapeHTML($current,1) : '';
1915     $name = defined($name) ? $self->escapeHTML($name) : '';
1916     my($s) = defined($size) ? qq/ size="$size"/ : '';
1917     my($m) = defined($maxlength) ? qq/ maxlength="$maxlength"/ : '';
1918     my($other) = @other ? " @other" : '';
1919     # this entered at cristy's request to fix problems with file upload fields
1920     # and WebTV -- not sure it won't break stuff
1921     my($value) = $current ne '' ? qq(value="$current") : '';
1922     $tabindex = $self->element_tab($tabindex);
1923     return $XHTML ? qq(<input type="$tag" name="$name" $tabindex$value$s$m$other />) 
1924                   : qq(<input type="$tag" name="$name" $value$s$m$other>);
1925 }
1926 END_OF_FUNC
1927
1928 #### Method: textfield
1929 # Parameters:
1930 #   $name -> Name of the text field
1931 #   $default -> Optional default value of the field if not
1932 #                already defined.
1933 #   $size ->  Optional width of field in characaters.
1934 #   $maxlength -> Optional maximum number of characters.
1935 # Returns:
1936 #   A string containing a <input type="text"> field
1937 #
1938 'textfield' => <<'END_OF_FUNC',
1939 sub textfield {
1940     my($self,@p) = self_or_default(@_);
1941     $self->_textfield('text',@p);
1942 }
1943 END_OF_FUNC
1944
1945
1946 #### Method: filefield
1947 # Parameters:
1948 #   $name -> Name of the file upload field
1949 #   $size ->  Optional width of field in characaters.
1950 #   $maxlength -> Optional maximum number of characters.
1951 # Returns:
1952 #   A string containing a <input type="file"> field
1953 #
1954 'filefield' => <<'END_OF_FUNC',
1955 sub filefield {
1956     my($self,@p) = self_or_default(@_);
1957     $self->_textfield('file',@p);
1958 }
1959 END_OF_FUNC
1960
1961
1962 #### Method: password
1963 # Create a "secret password" entry field
1964 # Parameters:
1965 #   $name -> Name of the field
1966 #   $default -> Optional default value of the field if not
1967 #                already defined.
1968 #   $size ->  Optional width of field in characters.
1969 #   $maxlength -> Optional maximum characters that can be entered.
1970 # Returns:
1971 #   A string containing a <input type="password"> field
1972 #
1973 'password_field' => <<'END_OF_FUNC',
1974 sub password_field {
1975     my ($self,@p) = self_or_default(@_);
1976     $self->_textfield('password',@p);
1977 }
1978 END_OF_FUNC
1979
1980 #### Method: textarea
1981 # Parameters:
1982 #   $name -> Name of the text field
1983 #   $default -> Optional default value of the field if not
1984 #                already defined.
1985 #   $rows ->  Optional number of rows in text area
1986 #   $columns -> Optional number of columns in text area
1987 # Returns:
1988 #   A string containing a <textarea></textarea> tag
1989 #
1990 'textarea' => <<'END_OF_FUNC',
1991 sub textarea {
1992     my($self,@p) = self_or_default(@_);
1993     my($name,$default,$rows,$cols,$override,$tabindex,@other) =
1994         rearrange([NAME,[DEFAULT,VALUE],ROWS,[COLS,COLUMNS],[OVERRIDE,FORCE],TABINDEX],@p);
1995
1996     my($current)= $override ? $default :
1997         (defined($self->param($name)) ? $self->param($name) : $default);
1998
1999     $name = defined($name) ? $self->escapeHTML($name) : '';
2000     $current = defined($current) ? $self->escapeHTML($current) : '';
2001     my($r) = $rows ? qq/ rows="$rows"/ : '';
2002     my($c) = $cols ? qq/ cols="$cols"/ : '';
2003     my($other) = @other ? " @other" : '';
2004     $tabindex = $self->element_tab($tabindex);
2005     return qq{<textarea name="$name" $tabindex$r$c$other>$current</textarea>};
2006 }
2007 END_OF_FUNC
2008
2009
2010 #### Method: button
2011 # Create a javascript button.
2012 # Parameters:
2013 #   $name ->  (optional) Name for the button. (-name)
2014 #   $value -> (optional) Value of the button when selected (and visible name) (-value)
2015 #   $onclick -> (optional) Text of the JavaScript to run when the button is
2016 #                clicked.
2017 # Returns:
2018 #   A string containing a <input type="button"> tag
2019 ####
2020 'button' => <<'END_OF_FUNC',
2021 sub button {
2022     my($self,@p) = self_or_default(@_);
2023
2024     my($label,$value,$script,$tabindex,@other) = rearrange([NAME,[VALUE,LABEL],
2025                                                             [ONCLICK,SCRIPT],TABINDEX],@p);
2026
2027     $label=$self->escapeHTML($label);
2028     $value=$self->escapeHTML($value,1);
2029     $script=$self->escapeHTML($script);
2030
2031     my($name) = '';
2032     $name = qq/ name="$label"/ if $label;
2033     $value = $value || $label;
2034     my($val) = '';
2035     $val = qq/ value="$value"/ if $value;
2036     $script = qq/ onclick="$script"/ if $script;
2037     my($other) = @other ? " @other" : '';
2038     $tabindex = $self->element_tab($tabindex);
2039     return $XHTML ? qq(<input type="button" $tabindex$name$val$script$other />)
2040                   : qq(<input type="button"$name$val$script$other>);
2041 }
2042 END_OF_FUNC
2043
2044
2045 #### Method: submit
2046 # Create a "submit query" button.
2047 # Parameters:
2048 #   $name ->  (optional) Name for the button.
2049 #   $value -> (optional) Value of the button when selected (also doubles as label).
2050 #   $label -> (optional) Label printed on the button(also doubles as the value).
2051 # Returns:
2052 #   A string containing a <input type="submit"> tag
2053 ####
2054 'submit' => <<'END_OF_FUNC',
2055 sub submit {
2056     my($self,@p) = self_or_default(@_);
2057
2058     my($label,$value,$tabindex,@other) = rearrange([NAME,[VALUE,LABEL],TABINDEX],@p);
2059
2060     $label=$self->escapeHTML($label);
2061     $value=$self->escapeHTML($value,1);
2062
2063     my $name = $NOSTICKY ? '' : 'name=".submit" ';
2064     $name = qq/name="$label" / if defined($label);
2065     $value = defined($value) ? $value : $label;
2066     my $val = '';
2067     $val = qq/value="$value" / if defined($value);
2068     $tabindex = $self->element_tab($tabindex);
2069     my($other) = @other ? "@other " : '';
2070     return $XHTML ? qq(<input type="submit" $tabindex$name$val$other/>)
2071                   : qq(<input type="submit" $name$val$other>);
2072 }
2073 END_OF_FUNC
2074
2075
2076 #### Method: reset
2077 # Create a "reset" button.
2078 # Parameters:
2079 #   $name -> (optional) Name for the button.
2080 # Returns:
2081 #   A string containing a <input type="reset"> tag
2082 ####
2083 'reset' => <<'END_OF_FUNC',
2084 sub reset {
2085     my($self,@p) = self_or_default(@_);
2086     my($label,$value,$tabindex,@other) = rearrange(['NAME',['VALUE','LABEL'],TABINDEX],@p);
2087     $label=$self->escapeHTML($label);
2088     $value=$self->escapeHTML($value,1);
2089     my ($name) = ' name=".reset"';
2090     $name = qq/ name="$label"/ if defined($label);
2091     $value = defined($value) ? $value : $label;
2092     my($val) = '';
2093     $val = qq/ value="$value"/ if defined($value);
2094     my($other) = @other ? " @other" : '';
2095     $tabindex = $self->element_tab($tabindex);
2096     return $XHTML ? qq(<input type="reset" $tabindex$name$val$other />)
2097                   : qq(<input type="reset"$name$val$other>);
2098 }
2099 END_OF_FUNC
2100
2101
2102 #### Method: defaults
2103 # Create a "defaults" button.
2104 # Parameters:
2105 #   $name -> (optional) Name for the button.
2106 # Returns:
2107 #   A string containing a <input type="submit" name=".defaults"> tag
2108 #
2109 # Note: this button has a special meaning to the initialization script,
2110 # and tells it to ERASE the current query string so that your defaults
2111 # are used again!
2112 ####
2113 'defaults' => <<'END_OF_FUNC',
2114 sub defaults {
2115     my($self,@p) = self_or_default(@_);
2116
2117     my($label,$tabindex,@other) = rearrange([[NAME,VALUE],TABINDEX],@p);
2118
2119     $label=$self->escapeHTML($label,1);
2120     $label = $label || "Defaults";
2121     my($value) = qq/ value="$label"/;
2122     my($other) = @other ? " @other" : '';
2123     $tabindex = $self->element_tab($tabindex);
2124     return $XHTML ? qq(<input type="submit" name=".defaults" $tabindex$value$other />)
2125                   : qq/<input type="submit" NAME=".defaults"$value$other>/;
2126 }
2127 END_OF_FUNC
2128
2129
2130 #### Method: comment
2131 # Create an HTML <!-- comment -->
2132 # Parameters: a string
2133 'comment' => <<'END_OF_FUNC',
2134 sub comment {
2135     my($self,@p) = self_or_CGI(@_);
2136     return "<!-- @p -->";
2137 }
2138 END_OF_FUNC
2139
2140 #### Method: checkbox
2141 # Create a checkbox that is not logically linked to any others.
2142 # The field value is "on" when the button is checked.
2143 # Parameters:
2144 #   $name -> Name of the checkbox
2145 #   $checked -> (optional) turned on by default if true
2146 #   $value -> (optional) value of the checkbox, 'on' by default
2147 #   $label -> (optional) a user-readable label printed next to the box.
2148 #             Otherwise the checkbox name is used.
2149 # Returns:
2150 #   A string containing a <input type="checkbox"> field
2151 ####
2152 'checkbox' => <<'END_OF_FUNC',
2153 sub checkbox {
2154     my($self,@p) = self_or_default(@_);
2155
2156     my($name,$checked,$value,$label,$labelattributes,$override,$tabindex,@other) =
2157        rearrange([NAME,[CHECKED,SELECTED,ON],VALUE,LABEL,LABELATTRIBUTES,
2158                    [OVERRIDE,FORCE],TABINDEX],@p);
2159
2160     $value = defined $value ? $value : 'on';
2161
2162     if (!$override && ($self->{'.fieldnames'}->{$name} || 
2163                        defined $self->param($name))) {
2164         $checked = grep($_ eq $value,$self->param($name)) ? $self->_checked(1) : '';
2165     } else {
2166         $checked = $self->_checked($checked);
2167     }
2168     my($the_label) = defined $label ? $label : $name;
2169     $name = $self->escapeHTML($name);
2170     $value = $self->escapeHTML($value,1);
2171     $the_label = $self->escapeHTML($the_label);
2172     my($other) = @other ? "@other " : '';
2173     $tabindex = $self->element_tab($tabindex);
2174     $self->register_parameter($name);
2175     return $XHTML ? CGI::label($labelattributes,
2176                     qq{<input type="checkbox" name="$name" value="$value" $tabindex$checked$other/>$the_label})
2177                   : qq{<input type="checkbox" name="$name" value="$value"$checked$other>$the_label};
2178 }
2179 END_OF_FUNC
2180
2181
2182
2183 # Escape HTML -- used internally
2184 'escapeHTML' => <<'END_OF_FUNC',
2185 sub escapeHTML {
2186          # hack to work around  earlier hacks
2187          push @_,$_[0] if @_==1 && $_[0] eq 'CGI';
2188          my ($self,$toencode,$newlinestoo) = CGI::self_or_default(@_);
2189          return undef unless defined($toencode);
2190          return $toencode if ref($self) && !$self->{'escape'};
2191          $toencode =~ s{&}{&amp;}gso;
2192          $toencode =~ s{<}{&lt;}gso;
2193          $toencode =~ s{>}{&gt;}gso;
2194          if ($DTD_PUBLIC_IDENTIFIER =~ /[^X]HTML 3\.2/i) {
2195              # $quot; was accidentally omitted from the HTML 3.2 DTD -- see
2196              # <http://validator.w3.org/docs/errors.html#bad-entity> /
2197              # <http://lists.w3.org/Archives/Public/www-html/1997Mar/0003.html>.
2198              $toencode =~ s{"}{&#34;}gso;
2199          }
2200          else {
2201              $toencode =~ s{"}{&quot;}gso;
2202          }
2203          # Handle bug in some browsers with Latin charsets
2204          if ($self->{'.charset'} &&
2205              (uc($self->{'.charset'}) eq 'ISO-8859-1' ||
2206               uc($self->{'.charset'}) eq 'WINDOWS-1252'))
2207          {
2208                 $toencode =~ s{'}{&#39;}gso;
2209                 $toencode =~ s{\x8b}{&#8249;}gso;
2210                 $toencode =~ s{\x9b}{&#8250;}gso;
2211                 if (defined $newlinestoo && $newlinestoo) {
2212                      $toencode =~ s{\012}{&#10;}gso;
2213                      $toencode =~ s{\015}{&#13;}gso;
2214                 }
2215          }
2216          return $toencode;
2217 }
2218 END_OF_FUNC
2219
2220 # unescape HTML -- used internally
2221 'unescapeHTML' => <<'END_OF_FUNC',
2222 sub unescapeHTML {
2223     # hack to work around  earlier hacks
2224     push @_,$_[0] if @_==1 && $_[0] eq 'CGI';
2225     my ($self,$string) = CGI::self_or_default(@_);
2226     return undef unless defined($string);
2227     my $latin = defined $self->{'.charset'} ? $self->{'.charset'} =~ /^(ISO-8859-1|WINDOWS-1252)$/i
2228                                             : 1;
2229     # thanks to Randal Schwartz for the correct solution to this one
2230     $string=~ s[&(.*?);]{
2231         local $_ = $1;
2232         /^amp$/i        ? "&" :
2233         /^quot$/i       ? '"' :
2234         /^gt$/i         ? ">" :
2235         /^lt$/i         ? "<" :
2236         /^#(\d+)$/ && $latin         ? chr($1) :
2237         /^#x([0-9a-f]+)$/i && $latin ? chr(hex($1)) :
2238         $_
2239         }gex;
2240     return $string;
2241 }
2242 END_OF_FUNC
2243
2244 # Internal procedure - don't use
2245 '_tableize' => <<'END_OF_FUNC',
2246 sub _tableize {
2247     my($rows,$columns,$rowheaders,$colheaders,@elements) = @_;
2248     my @rowheaders = $rowheaders ? @$rowheaders : ();
2249     my @colheaders = $colheaders ? @$colheaders : ();
2250     my($result);
2251
2252     if (defined($columns)) {
2253         $rows = int(0.99 + @elements/$columns) unless defined($rows);
2254     }
2255     if (defined($rows)) {
2256         $columns = int(0.99 + @elements/$rows) unless defined($columns);
2257     }
2258
2259     # rearrange into a pretty table
2260     $result = "<table>";
2261     my($row,$column);
2262     unshift(@colheaders,'') if @colheaders && @rowheaders;
2263     $result .= "<tr>" if @colheaders;
2264     foreach (@colheaders) {
2265         $result .= "<th>$_</th>";
2266     }
2267     for ($row=0;$row<$rows;$row++) {
2268         $result .= "<tr>";
2269         $result .= "<th>$rowheaders[$row]</th>" if @rowheaders;
2270         for ($column=0;$column<$columns;$column++) {
2271             $result .= "<td>" . $elements[$column*$rows + $row] . "</td>"
2272                 if defined($elements[$column*$rows + $row]);
2273         }
2274         $result .= "</tr>";
2275     }
2276     $result .= "</table>";
2277     return $result;
2278 }
2279 END_OF_FUNC
2280
2281
2282 #### Method: radio_group
2283 # Create a list of logically-linked radio buttons.
2284 # Parameters:
2285 #   $name -> Common name for all the buttons.
2286 #   $values -> A pointer to a regular array containing the
2287 #             values for each button in the group.
2288 #   $default -> (optional) Value of the button to turn on by default.  Pass '-'
2289 #               to turn _nothing_ on.
2290 #   $linebreak -> (optional) Set to true to place linebreaks
2291 #             between the buttons.
2292 #   $labels -> (optional)
2293 #             A pointer to an associative array of labels to print next to each checkbox
2294 #             in the form $label{'value'}="Long explanatory label".
2295 #             Otherwise the provided values are used as the labels.
2296 # Returns:
2297 #   An ARRAY containing a series of <input type="radio"> fields
2298 ####
2299 'radio_group' => <<'END_OF_FUNC',
2300 sub radio_group {
2301     my($self,@p) = self_or_default(@_);
2302    $self->_box_group('radio',@p);
2303 }
2304 END_OF_FUNC
2305
2306 #### Method: checkbox_group
2307 # Create a list of logically-linked checkboxes.
2308 # Parameters:
2309 #   $name -> Common name for all the check boxes
2310 #   $values -> A pointer to a regular array containing the
2311 #             values for each checkbox in the group.
2312 #   $defaults -> (optional)
2313 #             1. If a pointer to a regular array of checkbox values,
2314 #             then this will be used to decide which
2315 #             checkboxes to turn on by default.
2316 #             2. If a scalar, will be assumed to hold the
2317 #             value of a single checkbox in the group to turn on. 
2318 #   $linebreak -> (optional) Set to true to place linebreaks
2319 #             between the buttons.
2320 #   $labels -> (optional)
2321 #             A pointer to an associative array of labels to print next to each checkbox
2322 #             in the form $label{'value'}="Long explanatory label".
2323 #             Otherwise the provided values are used as the labels.
2324 # Returns:
2325 #   An ARRAY containing a series of <input type="checkbox"> fields
2326 ####
2327
2328 'checkbox_group' => <<'END_OF_FUNC',
2329 sub checkbox_group {
2330     my($self,@p) = self_or_default(@_);
2331    $self->_box_group('checkbox',@p);
2332 }
2333 END_OF_FUNC
2334
2335 '_box_group' => <<'END_OF_FUNC',
2336 sub _box_group {
2337     my $self     = shift;
2338     my $box_type = shift;
2339
2340     my($name,$values,$defaults,$linebreak,$labels,$labelattributes,
2341        $attributes,$rows,$columns,$rowheaders,$colheaders,
2342        $override,$nolabels,$tabindex,$disabled,@other) =
2343         rearrange([NAME,[VALUES,VALUE],[DEFAULT,DEFAULTS],LINEBREAK,LABELS,LABELATTRIBUTES,
2344                        ATTRIBUTES,ROWS,[COLUMNS,COLS],[ROWHEADERS,ROWHEADER],[COLHEADERS,COLHEADER],
2345                        [OVERRIDE,FORCE],NOLABELS,TABINDEX,DISABLED
2346                   ],@_);
2347
2348
2349     my($result,$checked,@elements,@values);
2350
2351     @values = $self->_set_values_and_labels($values,\$labels,$name);
2352     my %checked = $self->previous_or_default($name,$defaults,$override);
2353
2354     # If no check array is specified, check the first by default
2355     $checked{$values[0]}++ if $box_type eq 'radio' && !%checked;
2356
2357     $name=$self->escapeHTML($name);
2358
2359     my %tabs = ();
2360     if ($TABINDEX && $tabindex) {
2361       if (!ref $tabindex) {
2362           $self->element_tab($tabindex);
2363       } elsif (ref $tabindex eq 'ARRAY') {
2364           %tabs = map {$_=>$self->element_tab} @$tabindex;
2365       } elsif (ref $tabindex eq 'HASH') {
2366           %tabs = %$tabindex;
2367       }
2368     }
2369     %tabs = map {$_=>$self->element_tab} @values unless %tabs;
2370     my $other = @other ? "@other " : '';
2371     my $radio_checked;
2372
2373     # for disabling groups of radio/checkbox buttons
2374     my %disabled;
2375     foreach (@{$disabled}) {
2376         $disabled{$_}=1;
2377     }
2378
2379     foreach (@values) {
2380          my $disable="";
2381          if ($disabled{$_}) {
2382                 $disable="disabled='1'";
2383          }
2384
2385         my $checkit = $self->_checked($box_type eq 'radio' ? ($checked{$_} && !$radio_checked++)
2386                                                            : $checked{$_});
2387         my($break);
2388         if ($linebreak) {
2389           $break = $XHTML ? "<br />" : "<br>";
2390         }
2391         else {
2392           $break = '';
2393         }
2394         my($label)='';
2395         unless (defined($nolabels) && $nolabels) {
2396             $label = $_;
2397             $label = $labels->{$_} if defined($labels) && defined($labels->{$_});
2398             $label = $self->escapeHTML($label,1);
2399             $label = "<span style=\"color:gray\">$label</span>" if $disabled{$_};
2400         }
2401         my $attribs = $self->_set_attributes($_, $attributes);
2402         my $tab     = $tabs{$_};
2403         $_=$self->escapeHTML($_);
2404
2405         if ($XHTML) {
2406            push @elements,
2407               CGI::label($labelattributes,
2408                    qq(<input type="$box_type" name="$name" value="$_" $checkit$other$tab$attribs$disable/>$label)).${break};
2409         } else {
2410             push(@elements,qq/<input type="$box_type" name="$name" value="$_"$checkit$other$tab$attribs$disable>${label}${break}/);
2411         }
2412     }
2413     $self->register_parameter($name);
2414     return wantarray ? @elements : "@elements"
2415            unless defined($columns) || defined($rows);
2416     return _tableize($rows,$columns,$rowheaders,$colheaders,@elements);
2417 }
2418 END_OF_FUNC
2419
2420
2421 #### Method: popup_menu
2422 # Create a popup menu.
2423 # Parameters:
2424 #   $name -> Name for all the menu
2425 #   $values -> A pointer to a regular array containing the
2426 #             text of each menu item.
2427 #   $default -> (optional) Default item to display
2428 #   $labels -> (optional)
2429 #             A pointer to an associative array of labels to print next to each checkbox
2430 #             in the form $label{'value'}="Long explanatory label".
2431 #             Otherwise the provided values are used as the labels.
2432 # Returns:
2433 #   A string containing the definition of a popup menu.
2434 ####
2435 'popup_menu' => <<'END_OF_FUNC',
2436 sub popup_menu {
2437     my($self,@p) = self_or_default(@_);
2438
2439     my($name,$values,$default,$labels,$attributes,$override,$tabindex,@other) =
2440        rearrange([NAME,[VALUES,VALUE],[DEFAULT,DEFAULTS],LABELS,
2441        ATTRIBUTES,[OVERRIDE,FORCE],TABINDEX],@p);
2442     my($result,$selected);
2443
2444     if (!$override && defined($self->param($name))) {
2445         $selected = $self->param($name);
2446     } else {
2447         $selected = $default;
2448     }
2449     $name=$self->escapeHTML($name);
2450     my($other) = @other ? " @other" : '';
2451
2452     my(@values);
2453     @values = $self->_set_values_and_labels($values,\$labels,$name);
2454     $tabindex = $self->element_tab($tabindex);
2455     $result = qq/<select name="$name" $tabindex$other>\n/;
2456     foreach (@values) {
2457         if (/<optgroup/) {
2458             foreach (split(/\n/)) {
2459                 my $selectit = $XHTML ? 'selected="selected"' : 'selected';
2460                 s/(value="$selected")/$selectit $1/ if defined $selected;
2461                 $result .= "$_\n";
2462             }
2463         }
2464         else {
2465           my $attribs = $self->_set_attributes($_, $attributes);
2466           my($selectit) = defined($selected) ? $self->_selected($selected eq $_) : '';
2467           my($label) = $_;
2468           $label = $labels->{$_} if defined($labels) && defined($labels->{$_});
2469           my($value) = $self->escapeHTML($_);
2470           $label=$self->escapeHTML($label,1);
2471           $result .= "<option${attribs} ${selectit}value=\"$value\">$label</option>\n";
2472         }
2473     }
2474
2475     $result .= "</select>";
2476     return $result;
2477 }
2478 END_OF_FUNC
2479
2480
2481 #### Method: optgroup
2482 # Create a optgroup.
2483 # Parameters:
2484 #   $name -> Label for the group
2485 #   $values -> A pointer to a regular array containing the
2486 #              values for each option line in the group.
2487 #   $labels -> (optional)
2488 #              A pointer to an associative array of labels to print next to each item
2489 #              in the form $label{'value'}="Long explanatory label".
2490 #              Otherwise the provided values are used as the labels.
2491 #   $labeled -> (optional)
2492 #               A true value indicates the value should be used as the label attribute
2493 #               in the option elements.
2494 #               The label attribute specifies the option label presented to the user.
2495 #               This defaults to the content of the <option> element, but the label
2496 #               attribute allows authors to more easily use optgroup without sacrificing
2497 #               compatibility with browsers that do not support option groups.
2498 #   $novals -> (optional)
2499 #              A true value indicates to suppress the val attribute in the option elements
2500 # Returns:
2501 #   A string containing the definition of an option group.
2502 ####
2503 'optgroup' => <<'END_OF_FUNC',
2504 sub optgroup {
2505     my($self,@p) = self_or_default(@_);
2506     my($name,$values,$attributes,$labeled,$noval,$labels,@other)
2507         = rearrange([NAME,[VALUES,VALUE],ATTRIBUTES,LABELED,NOVALS,LABELS],@p);
2508
2509     my($result,@values);
2510     @values = $self->_set_values_and_labels($values,\$labels,$name,$labeled,$novals);
2511     my($other) = @other ? " @other" : '';
2512
2513     $name=$self->escapeHTML($name);
2514     $result = qq/<optgroup label="$name"$other>\n/;
2515     foreach (@values) {
2516         if (/<optgroup/) {
2517             foreach (split(/\n/)) {
2518                 my $selectit = $XHTML ? 'selected="selected"' : 'selected';
2519                 s/(value="$selected")/$selectit $1/ if defined $selected;
2520                 $result .= "$_\n";
2521             }
2522         }
2523         else {
2524             my $attribs = $self->_set_attributes($_, $attributes);
2525             my($label) = $_;
2526             $label = $labels->{$_} if defined($labels) && defined($labels->{$_});
2527             $label=$self->escapeHTML($label);
2528             my($value)=$self->escapeHTML($_,1);
2529             $result .= $labeled ? $novals ? "<option$attribs label=\"$value\">$label</option>\n"
2530                                           : "<option$attribs label=\"$value\" value=\"$value\">$label</option>\n"
2531                                 : $novals ? "<option$attribs>$label</option>\n"
2532                                           : "<option$attribs value=\"$value\">$label</option>\n";
2533         }
2534     }
2535     $result .= "</optgroup>";
2536     return $result;
2537 }
2538 END_OF_FUNC
2539
2540
2541 #### Method: scrolling_list
2542 # Create a scrolling list.
2543 # Parameters:
2544 #   $name -> name for the list
2545 #   $values -> A pointer to a regular array containing the
2546 #             values for each option line in the list.
2547 #   $defaults -> (optional)
2548 #             1. If a pointer to a regular array of options,
2549 #             then this will be used to decide which
2550 #             lines to turn on by default.
2551 #             2. Otherwise holds the value of the single line to turn on.
2552 #   $size -> (optional) Size of the list.
2553 #   $multiple -> (optional) If set, allow multiple selections.
2554 #   $labels -> (optional)
2555 #             A pointer to an associative array of labels to print next to each checkbox
2556 #             in the form $label{'value'}="Long explanatory label".
2557 #             Otherwise the provided values are used as the labels.
2558 # Returns:
2559 #   A string containing the definition of a scrolling list.
2560 ####
2561 'scrolling_list' => <<'END_OF_FUNC',
2562 sub scrolling_list {
2563     my($self,@p) = self_or_default(@_);
2564     my($name,$values,$defaults,$size,$multiple,$labels,$attributes,$override,$tabindex,@other)
2565         = rearrange([NAME,[VALUES,VALUE],[DEFAULTS,DEFAULT],
2566           SIZE,MULTIPLE,LABELS,ATTRIBUTES,[OVERRIDE,FORCE],TABINDEX],@p);
2567
2568     my($result,@values);
2569     @values = $self->_set_values_and_labels($values,\$labels,$name);
2570
2571     $size = $size || scalar(@values);
2572
2573     my(%selected) = $self->previous_or_default($name,$defaults,$override);
2574     my($is_multiple) = $multiple ? qq/ multiple="multiple"/ : '';
2575     my($has_size) = $size ? qq/ size="$size"/: '';
2576     my($other) = @other ? " @other" : '';
2577
2578     $name=$self->escapeHTML($name);
2579     $tabindex = $self->element_tab($tabindex);
2580     $result = qq/<select name="$name" $tabindex$has_size$is_multiple$other>\n/;
2581     foreach (@values) {
2582         my($selectit) = $self->_selected($selected{$_});
2583         my($label) = $_;
2584         $label = $labels->{$_} if defined($labels) && defined($labels->{$_});
2585         $label=$self->escapeHTML($label);
2586         my($value)=$self->escapeHTML($_,1);
2587         my $attribs = $self->_set_attributes($_, $attributes);
2588         $result .= "<option ${selectit}${attribs}value=\"$value\">$label</option>\n";
2589     }
2590     $result .= "</select>";
2591     $self->register_parameter($name);
2592     return $result;
2593 }
2594 END_OF_FUNC
2595
2596
2597 #### Method: hidden
2598 # Parameters:
2599 #   $name -> Name of the hidden field
2600 #   @default -> (optional) Initial values of field (may be an array)
2601 #      or
2602 #   $default->[initial values of field]
2603 # Returns:
2604 #   A string containing a <input type="hidden" name="name" value="value">
2605 ####
2606 'hidden' => <<'END_OF_FUNC',
2607 sub hidden {
2608     my($self,@p) = self_or_default(@_);
2609
2610     # this is the one place where we departed from our standard
2611     # calling scheme, so we have to special-case (darn)
2612     my(@result,@value);
2613     my($name,$default,$override,@other) = 
2614         rearrange([NAME,[DEFAULT,VALUE,VALUES],[OVERRIDE,FORCE]],@p);
2615
2616     my $do_override = 0;
2617     if ( ref($p[0]) || substr($p[0],0,1) eq '-') {
2618         @value = ref($default) ? @{$default} : $default;
2619         $do_override = $override;
2620     } else {
2621         foreach ($default,$override,@other) {
2622             push(@value,$_) if defined($_);
2623         }
2624     }
2625
2626     # use previous values if override is not set
2627     my @prev = $self->param($name);
2628     @value = @prev if !$do_override && @prev;
2629
2630     $name=$self->escapeHTML($name);
2631     foreach (@value) {
2632         $_ = defined($_) ? $self->escapeHTML($_,1) : '';
2633         push @result,$XHTML ? qq(<input type="hidden" name="$name" value="$_" @other />)
2634                             : qq(<input type="hidden" name="$name" value="$_" @other>);
2635     }
2636     return wantarray ? @result : join('',@result);
2637 }
2638 END_OF_FUNC
2639
2640
2641 #### Method: image_button
2642 # Parameters:
2643 #   $name -> Name of the button
2644 #   $src ->  URL of the image source
2645 #   $align -> Alignment style (TOP, BOTTOM or MIDDLE)
2646 # Returns:
2647 #   A string containing a <input type="image" name="name" src="url" align="alignment">
2648 ####
2649 'image_button' => <<'END_OF_FUNC',
2650 sub image_button {
2651     my($self,@p) = self_or_default(@_);
2652
2653     my($name,$src,$alignment,@other) =
2654         rearrange([NAME,SRC,ALIGN],@p);
2655
2656     my($align) = $alignment ? " align=\L\"$alignment\"" : '';
2657     my($other) = @other ? " @other" : '';
2658     $name=$self->escapeHTML($name);
2659     return $XHTML ? qq(<input type="image" name="$name" src="$src"$align$other />)
2660                   : qq/<input type="image" name="$name" src="$src"$align$other>/;
2661 }
2662 END_OF_FUNC
2663
2664
2665 #### Method: self_url
2666 # Returns a URL containing the current script and all its
2667 # param/value pairs arranged as a query.  You can use this
2668 # to create a link that, when selected, will reinvoke the
2669 # script with all its state information preserved.
2670 ####
2671 'self_url' => <<'END_OF_FUNC',
2672 sub self_url {
2673     my($self,@p) = self_or_default(@_);
2674     return $self->url('-path_info'=>1,'-query'=>1,'-full'=>1,@p);
2675 }
2676 END_OF_FUNC
2677
2678
2679 # This is provided as a synonym to self_url() for people unfortunate
2680 # enough to have incorporated it into their programs already!
2681 'state' => <<'END_OF_FUNC',
2682 sub state {
2683     &self_url;
2684 }
2685 END_OF_FUNC
2686
2687
2688 #### Method: url
2689 # Like self_url, but doesn't return the query string part of
2690 # the URL.
2691 ####
2692 'url' => <<'END_OF_FUNC',
2693 sub url {
2694     my($self,@p) = self_or_default(@_);
2695     my ($relative,$absolute,$full,$path_info,$query,$base,$rewrite) = 
2696         rearrange(['RELATIVE','ABSOLUTE','FULL',['PATH','PATH_INFO'],['QUERY','QUERY_STRING'],'BASE','REWRITE'],@p);
2697     my $url  = '';
2698     $full++      if $base || !($relative || $absolute);
2699     $rewrite++   unless defined $rewrite;
2700
2701     my $path        =  $self->path_info;
2702     my $script_name =  $self->script_name;
2703     my $request_uri =  unescape($self->request_uri) || '';
2704     my $query_str   =  $self->query_string;
2705
2706     my $rewrite_in_use = $request_uri && $request_uri !~ /^$script_name/;
2707     undef $path if $rewrite_in_use && $rewrite;  # path not valid when rewriting active
2708
2709     my $uri         =  $rewrite && $request_uri ? $request_uri : $script_name;
2710     $uri            =~ s/\?.*$//;                                 # remove query string
2711     $uri            =~ s/\Q$path\E$//      if defined $path;      # remove path
2712
2713     if ($full) {
2714         my $protocol = $self->protocol();
2715         $url = "$protocol://";
2716         my $vh = http('x_forwarded_host') || http('host') || '';
2717         $vh =~ s/\:\d+$//;  # some clients add the port number (incorrectly). Get rid of it.
2718         if ($vh) {
2719             $url .= $vh;
2720         } else {
2721             $url .= server_name();
2722         }
2723         my $port = $self->server_port;
2724         $url .= ":" . $port
2725           unless (lc($protocol) eq 'http'  && $port == 80)
2726                 || (lc($protocol) eq 'https' && $port == 443);
2727         return $url if $base;
2728         $url .= $uri;
2729     } elsif ($relative) {
2730         ($url) = $uri =~ m!([^/]+)$!;
2731     } elsif ($absolute) {
2732         $url = $uri;
2733     }
2734
2735     $url .= $path         if $path_info and defined $path;
2736     $url .= "?$query_str" if $query     and $query_str ne '';
2737     $url ||= '';
2738     $url =~ s/([^a-zA-Z0-9_.%;&?\/\\:+=~-])/sprintf("%%%02X",ord($1))/eg;
2739     return $url;
2740 }
2741
2742 END_OF_FUNC
2743
2744 #### Method: cookie
2745 # Set or read a cookie from the specified name.
2746 # Cookie can then be passed to header().
2747 # Usual rules apply to the stickiness of -value.
2748 #  Parameters:
2749 #   -name -> name for this cookie (optional)
2750 #   -value -> value of this cookie (scalar, array or hash) 
2751 #   -path -> paths for which this cookie is valid (optional)
2752 #   -domain -> internet domain in which this cookie is valid (optional)
2753 #   -secure -> if true, cookie only passed through secure channel (optional)
2754 #   -expires -> expiry date in format Wdy, DD-Mon-YYYY HH:MM:SS GMT (optional)
2755 ####
2756 'cookie' => <<'END_OF_FUNC',
2757 sub cookie {
2758     my($self,@p) = self_or_default(@_);
2759     my($name,$value,$path,$domain,$secure,$expires,$httponly) =
2760         rearrange([NAME,[VALUE,VALUES],PATH,DOMAIN,SECURE,EXPIRES,HTTPONLY],@p);
2761
2762     require CGI::Cookie;
2763
2764     # if no value is supplied, then we retrieve the
2765     # value of the cookie, if any.  For efficiency, we cache the parsed
2766     # cookies in our state variables.
2767     unless ( defined($value) ) {
2768         $self->{'.cookies'} = CGI::Cookie->fetch
2769             unless $self->{'.cookies'};
2770
2771         # If no name is supplied, then retrieve the names of all our cookies.
2772         return () unless $self->{'.cookies'};
2773         return keys %{$self->{'.cookies'}} unless $name;
2774         return () unless $self->{'.cookies'}->{$name};
2775         return $self->{'.cookies'}->{$name}->value if defined($name) && $name ne '';
2776     }
2777
2778     # If we get here, we're creating a new cookie
2779     return undef unless defined($name) && $name ne '';  # this is an error
2780
2781     my @param;
2782     push(@param,'-name'=>$name);
2783     push(@param,'-value'=>$value);
2784     push(@param,'-domain'=>$domain) if $domain;
2785     push(@param,'-path'=>$path) if $path;
2786     push(@param,'-expires'=>$expires) if $expires;
2787     push(@param,'-secure'=>$secure) if $secure;
2788     push(@param,'-httponly'=>$httponly) if $httponly;
2789
2790     return new CGI::Cookie(@param);
2791 }
2792 END_OF_FUNC
2793
2794 'parse_keywordlist' => <<'END_OF_FUNC',
2795 sub parse_keywordlist {
2796     my($self,$tosplit) = @_;
2797     $tosplit = unescape($tosplit); # unescape the keywords
2798     $tosplit=~tr/+/ /;          # pluses to spaces
2799     my(@keywords) = split(/\s+/,$tosplit);
2800     return @keywords;
2801 }
2802 END_OF_FUNC
2803
2804 'param_fetch' => <<'END_OF_FUNC',
2805 sub param_fetch {
2806     my($self,@p) = self_or_default(@_);
2807     my($name) = rearrange([NAME],@p);
2808     unless (exists($self->{$name})) {
2809         $self->add_parameter($name);
2810         $self->{$name} = [];
2811     }
2812     
2813     return $self->{$name};
2814 }
2815 END_OF_FUNC
2816
2817 ###############################################
2818 # OTHER INFORMATION PROVIDED BY THE ENVIRONMENT
2819 ###############################################
2820
2821 #### Method: path_info
2822 # Return the extra virtual path information provided
2823 # after the URL (if any)
2824 ####
2825 'path_info' => <<'END_OF_FUNC',
2826 sub path_info {
2827     my ($self,$info) = self_or_default(@_);
2828     if (defined($info)) {
2829         $info = "/$info" if $info ne '' &&  substr($info,0,1) ne '/';
2830         $self->{'.path_info'} = $info;
2831     } elsif (! defined($self->{'.path_info'}) ) {
2832         my (undef,$path_info) = $self->_name_and_path_from_env;
2833         $self->{'.path_info'} = $path_info || '';
2834     }
2835     return $self->{'.path_info'};
2836 }
2837 END_OF_FUNC
2838
2839 # WE USE THIS TO COMPENSATE FOR A BUG IN APACHE 2 PRESENT AT LEAST UP THROUGH 2.0.54
2840 '_name_and_path_from_env' => <<'END_OF_FUNC',
2841 sub _name_and_path_from_env {
2842    my $self = shift;
2843    my $raw_script_name = $ENV{SCRIPT_NAME} || '';
2844    my $raw_path_info   = $ENV{PATH_INFO}   || '';
2845    my $uri             = unescape($self->request_uri) || '';
2846
2847    my $protected    = quotemeta($raw_path_info);
2848    $raw_script_name =~ s/$protected$//;
2849
2850    my @uri_double_slashes  = $uri =~ m^(/{2,}?)^g;
2851    my @path_double_slashes = "$raw_script_name $raw_path_info" =~ m^(/{2,}?)^g;
2852
2853    my $apache_bug      = @uri_double_slashes != @path_double_slashes;
2854    return ($raw_script_name,$raw_path_info) unless $apache_bug;
2855
2856    my $path_info_search = quotemeta($raw_path_info);
2857    $path_info_search    =~ s!/!/+!g;
2858    if ($uri =~ m/^(.+)($path_info_search)/) {
2859        return ($1,$2);
2860    } else {
2861        return ($raw_script_name,$raw_path_info);
2862    }
2863 }
2864 END_OF_FUNC
2865
2866
2867 #### Method: request_method
2868 # Returns 'POST', 'GET', 'PUT' or 'HEAD'
2869 ####
2870 'request_method' => <<'END_OF_FUNC',
2871 sub request_method {
2872     return $ENV{'REQUEST_METHOD'};
2873 }
2874 END_OF_FUNC
2875
2876 #### Method: content_type
2877 # Returns the content_type string
2878 ####
2879 'content_type' => <<'END_OF_FUNC',
2880 sub content_type {
2881     return $ENV{'CONTENT_TYPE'};
2882 }
2883 END_OF_FUNC
2884
2885 #### Method: path_translated
2886 # Return the physical path information provided
2887 # by the URL (if any)
2888 ####
2889 'path_translated' => <<'END_OF_FUNC',
2890 sub path_translated {
2891     return $ENV{'PATH_TRANSLATED'};
2892 }
2893 END_OF_FUNC
2894
2895
2896 #### Method: request_uri
2897 # Return the literal request URI
2898 ####
2899 'request_uri' => <<'END_OF_FUNC',
2900 sub request_uri {
2901     return $ENV{'REQUEST_URI'};
2902 }
2903 END_OF_FUNC
2904
2905
2906 #### Method: query_string
2907 # Synthesize a query string from our current
2908 # parameters
2909 ####
2910 'query_string' => <<'END_OF_FUNC',
2911 sub query_string {
2912     my($self) = self_or_default(@_);
2913     my($param,$value,@pairs);
2914     foreach $param ($self->param) {
2915         my($eparam) = escape($param);
2916         foreach $value ($self->param($param)) {
2917             $value = escape($value);
2918             next unless defined $value;
2919             push(@pairs,"$eparam=$value");
2920         }
2921     }
2922     foreach (keys %{$self->{'.fieldnames'}}) {
2923       push(@pairs,".cgifields=".escape("$_"));
2924     }
2925     return join($USE_PARAM_SEMICOLONS ? ';' : '&',@pairs);
2926 }
2927 END_OF_FUNC
2928
2929
2930 #### Method: accept
2931 # Without parameters, returns an array of the
2932 # MIME types the browser accepts.
2933 # With a single parameter equal to a MIME
2934 # type, will return undef if the browser won't
2935 # accept it, 1 if the browser accepts it but
2936 # doesn't give a preference, or a floating point
2937 # value between 0.0 and 1.0 if the browser
2938 # declares a quantitative score for it.
2939 # This handles MIME type globs correctly.
2940 ####
2941 'Accept' => <<'END_OF_FUNC',
2942 sub Accept {
2943     my($self,$search) = self_or_CGI(@_);
2944     my(%prefs,$type,$pref,$pat);
2945     
2946     my(@accept) = split(',',$self->http('accept'));
2947
2948     foreach (@accept) {
2949         ($pref) = /q=(\d\.\d+|\d+)/;
2950         ($type) = m#(\S+/[^;]+)#;
2951         next unless $type;
2952         $prefs{$type}=$pref || 1;
2953     }
2954
2955     return keys %prefs unless $search;
2956     
2957     # if a search type is provided, we may need to
2958     # perform a pattern matching operation.
2959     # The MIME types use a glob mechanism, which
2960     # is easily translated into a perl pattern match
2961
2962     # First return the preference for directly supported
2963     # types:
2964     return $prefs{$search} if $prefs{$search};
2965
2966     # Didn't get it, so try pattern matching.
2967     foreach (keys %prefs) {
2968         next unless /\*/;       # not a pattern match
2969         ($pat = $_) =~ s/([^\w*])/\\$1/g; # escape meta characters
2970         $pat =~ s/\*/.*/g; # turn it into a pattern
2971         return $prefs{$_} if $search=~/$pat/;
2972     }
2973 }
2974 END_OF_FUNC
2975
2976
2977 #### Method: user_agent
2978 # If called with no parameters, returns the user agent.
2979 # If called with one parameter, does a pattern match (case
2980 # insensitive) on the user agent.
2981 ####
2982 'user_agent' => <<'END_OF_FUNC',
2983 sub user_agent {
2984     my($self,$match)=self_or_CGI(@_);
2985     return $self->http('user_agent') unless $match;
2986     return $self->http('user_agent') =~ /$match/i;
2987 }
2988 END_OF_FUNC
2989
2990
2991 #### Method: raw_cookie
2992 # Returns the magic cookies for the session.
2993 # The cookies are not parsed or altered in any way, i.e.
2994 # cookies are returned exactly as given in the HTTP
2995 # headers.  If a cookie name is given, only that cookie's
2996 # value is returned, otherwise the entire raw cookie
2997 # is returned.
2998 ####
2999 'raw_cookie' => <<'END_OF_FUNC',
3000 sub raw_cookie {
3001     my($self,$key) = self_or_CGI(@_);
3002
3003     require CGI::Cookie;
3004
3005     if (defined($key)) {
3006         $self->{'.raw_cookies'} = CGI::Cookie->raw_fetch
3007             unless $self->{'.raw_cookies'};
3008
3009         return () unless $self->{'.raw_cookies'};
3010         return () unless $self->{'.raw_cookies'}->{$key};
3011         return $self->{'.raw_cookies'}->{$key};
3012     }
3013     return $self->http('cookie') || $ENV{'COOKIE'} || '';
3014 }
3015 END_OF_FUNC
3016
3017 #### Method: virtual_host
3018 # Return the name of the virtual_host, which
3019 # is not always the same as the server
3020 ######
3021 'virtual_host' => <<'END_OF_FUNC',
3022 sub virtual_host {
3023     my $vh = http('x_forwarded_host') || http('host') || server_name();
3024     $vh =~ s/:\d+$//;           # get rid of port number
3025     return $vh;
3026 }
3027 END_OF_FUNC
3028
3029 #### Method: remote_host
3030 # Return the name of the remote host, or its IP
3031 # address if unavailable.  If this variable isn't
3032 # defined, it returns "localhost" for debugging
3033 # purposes.
3034 ####
3035 'remote_host' => <<'END_OF_FUNC',
3036 sub remote_host {
3037     return $ENV{'REMOTE_HOST'} || $ENV{'REMOTE_ADDR'} 
3038     || 'localhost';
3039 }
3040 END_OF_FUNC
3041
3042
3043 #### Method: remote_addr
3044 # Return the IP addr of the remote host.
3045 ####
3046 'remote_addr' => <<'END_OF_FUNC',
3047 sub remote_addr {
3048     return $ENV{'REMOTE_ADDR'} || '127.0.0.1';
3049 }
3050 END_OF_FUNC
3051
3052
3053 #### Method: script_name
3054 # Return the partial URL to this script for
3055 # self-referencing scripts.  Also see
3056 # self_url(), which returns a URL with all state information
3057 # preserved.
3058 ####
3059 'script_name' => <<'END_OF_FUNC',
3060 sub script_name {
3061     my ($self,@p) = self_or_default(@_);
3062     if (@p) {
3063         $self->{'.script_name'} = shift @p;
3064     } elsif (!exists $self->{'.script_name'}) {
3065         my ($script_name,$path_info) = $self->_name_and_path_from_env();
3066         $self->{'.script_name'} = $script_name;
3067     }
3068     return $self->{'.script_name'};
3069 }
3070 END_OF_FUNC
3071
3072
3073 #### Method: referer
3074 # Return the HTTP_REFERER: useful for generating
3075 # a GO BACK button.
3076 ####
3077 'referer' => <<'END_OF_FUNC',
3078 sub referer {
3079     my($self) = self_or_CGI(@_);
3080     return $self->http('referer');
3081 }
3082 END_OF_FUNC
3083
3084
3085 #### Method: server_name
3086 # Return the name of the server
3087 ####
3088 'server_name' => <<'END_OF_FUNC',
3089 sub server_name {
3090     return $ENV{'SERVER_NAME'} || 'localhost';
3091 }
3092 END_OF_FUNC
3093
3094 #### Method: server_software
3095 # Return the name of the server software
3096 ####
3097 'server_software' => <<'END_OF_FUNC',
3098 sub server_software {
3099     return $ENV{'SERVER_SOFTWARE'} || 'cmdline';
3100 }
3101 END_OF_FUNC
3102
3103 #### Method: virtual_port
3104 # Return the server port, taking virtual hosts into account
3105 ####
3106 'virtual_port' => <<'END_OF_FUNC',
3107 sub virtual_port {
3108     my($self) = self_or_default(@_);
3109     my $vh = $self->http('x_forwarded_host') || $self->http('host');
3110     my $protocol = $self->protocol;
3111     if ($vh) {
3112         return ($vh =~ /:(\d+)$/)[0] || ($protocol eq 'https' ? 443 : 80);
3113     } else {
3114         return $self->server_port();
3115     }
3116 }
3117 END_OF_FUNC
3118
3119 #### Method: server_port
3120 # Return the tcp/ip port the server is running on
3121 ####
3122 'server_port' => <<'END_OF_FUNC',
3123 sub server_port {
3124     return $ENV{'SERVER_PORT'} || 80; # for debugging
3125 }
3126 END_OF_FUNC
3127
3128 #### Method: server_protocol
3129 # Return the protocol (usually HTTP/1.0)
3130 ####
3131 'server_protocol' => <<'END_OF_FUNC',
3132 sub server_protocol {
3133     return $ENV{'SERVER_PROTOCOL'} || 'HTTP/1.0'; # for debugging
3134 }
3135 END_OF_FUNC
3136
3137 #### Method: http
3138 # Return the value of an HTTP variable, or
3139 # the list of variables if none provided
3140 ####
3141 'http' => <<'END_OF_FUNC',
3142 sub http {
3143     my ($self,$parameter) = self_or_CGI(@_);
3144     return $ENV{$parameter} if $parameter=~/^HTTP/;
3145     $parameter =~ tr/-/_/;
3146     return $ENV{"HTTP_\U$parameter\E"} if $parameter;
3147     my(@p);
3148     foreach (keys %ENV) {
3149         push(@p,$_) if /^HTTP/;
3150     }
3151     return @p;
3152 }
3153 END_OF_FUNC
3154
3155 #### Method: https
3156 # Return the value of HTTPS
3157 ####
3158 'https' => <<'END_OF_FUNC',
3159 sub https {
3160     local($^W)=0;
3161     my ($self,$parameter) = self_or_CGI(@_);
3162     return $ENV{HTTPS} unless $parameter;
3163     return $ENV{$parameter} if $parameter=~/^HTTPS/;
3164     $parameter =~ tr/-/_/;
3165     return $ENV{"HTTPS_\U$parameter\E"} if $parameter;
3166     my(@p);
3167     foreach (keys %ENV) {
3168         push(@p,$_) if /^HTTPS/;
3169     }
3170     return @p;
3171 }
3172 END_OF_FUNC
3173
3174 #### Method: protocol
3175 # Return the protocol (http or https currently)
3176 ####
3177 'protocol' => <<'END_OF_FUNC',
3178 sub protocol {
3179     local($^W)=0;
3180     my $self = shift;
3181     return 'https' if uc($self->https()) eq 'ON'; 
3182     return 'https' if $self->server_port == 443;
3183     my $prot = $self->server_protocol;
3184     my($protocol,$version) = split('/',$prot);
3185     return "\L$protocol\E";
3186 }
3187 END_OF_FUNC
3188
3189 #### Method: remote_ident
3190 # Return the identity of the remote user
3191 # (but only if his host is running identd)
3192 ####
3193 'remote_ident' => <<'END_OF_FUNC',
3194 sub remote_ident {
3195     return $ENV{'REMOTE_IDENT'};
3196 }
3197 END_OF_FUNC
3198
3199
3200 #### Method: auth_type
3201 # Return the type of use verification/authorization in use, if any.
3202 ####
3203 'auth_type' => <<'END_OF_FUNC',
3204 sub auth_type {
3205     return $ENV{'AUTH_TYPE'};
3206 }
3207 END_OF_FUNC
3208
3209
3210 #### Method: remote_user
3211 # Return the authorization name used for user
3212 # verification.
3213 ####
3214 'remote_user' => <<'END_OF_FUNC',
3215 sub remote_user {
3216     return $ENV{'REMOTE_USER'};
3217 }
3218 END_OF_FUNC
3219
3220
3221 #### Method: user_name
3222 # Try to return the remote user's name by hook or by
3223 # crook
3224 ####
3225 'user_name' => <<'END_OF_FUNC',
3226 sub user_name {
3227     my ($self) = self_or_CGI(@_);
3228     return $self->http('from') || $ENV{'REMOTE_IDENT'} || $ENV{'REMOTE_USER'};
3229 }
3230 END_OF_FUNC
3231
3232 #### Method: nosticky
3233 # Set or return the NOSTICKY global flag
3234 ####
3235 'nosticky' => <<'END_OF_FUNC',
3236 sub nosticky {
3237     my ($self,$param) = self_or_CGI(@_);
3238     $CGI::NOSTICKY = $param if defined($param);
3239     return $CGI::NOSTICKY;
3240 }
3241 END_OF_FUNC
3242
3243 #### Method: nph
3244 # Set or return the NPH global flag
3245 ####
3246 'nph' => <<'END_OF_FUNC',
3247 sub nph {
3248     my ($self,$param) = self_or_CGI(@_);
3249     $CGI::NPH = $param if defined($param);
3250     return $CGI::NPH;
3251 }
3252 END_OF_FUNC
3253
3254 #### Method: private_tempfiles
3255 # Set or return the private_tempfiles global flag
3256 ####
3257 'private_tempfiles' => <<'END_OF_FUNC',
3258 sub private_tempfiles {
3259     my ($self,$param) = self_or_CGI(@_);
3260     $CGI::PRIVATE_TEMPFILES = $param if defined($param);
3261     return $CGI::PRIVATE_TEMPFILES;
3262 }
3263 END_OF_FUNC
3264 #### Method: close_upload_files
3265 # Set or return the close_upload_files global flag
3266 ####
3267 'close_upload_files' => <<'END_OF_FUNC',
3268 sub close_upload_files {
3269     my ($self,$param) = self_or_CGI(@_);
3270     $CGI::CLOSE_UPLOAD_FILES = $param if defined($param);
3271     return $CGI::CLOSE_UPLOAD_FILES;
3272 }
3273 END_OF_FUNC
3274
3275
3276 #### Method: default_dtd
3277 # Set or return the default_dtd global
3278 ####
3279 'default_dtd' => <<'END_OF_FUNC',
3280 sub default_dtd {
3281     my ($self,$param,$param2) = self_or_CGI(@_);
3282     if (defined $param2 && defined $param) {
3283         $CGI::DEFAULT_DTD = [ $param, $param2 ];
3284     } elsif (defined $param) {
3285         $CGI::DEFAULT_DTD = $param;
3286     }
3287     return $CGI::DEFAULT_DTD;
3288 }
3289 END_OF_FUNC
3290
3291 # -------------- really private subroutines -----------------
3292 'previous_or_default' => <<'END_OF_FUNC',
3293 sub previous_or_default {
3294     my($self,$name,$defaults,$override) = @_;
3295     my(%selected);
3296
3297     if (!$override && ($self->{'.fieldnames'}->{$name} || 
3298                        defined($self->param($name)) ) ) {
3299         $selected{$_}++ for $self->param($name);
3300     } elsif (defined($defaults) && ref($defaults) && 
3301              (ref($defaults) eq 'ARRAY')) {
3302         $selected{$_}++ for @{$defaults};
3303     } else {
3304         $selected{$defaults}++ if defined($defaults);
3305     }
3306
3307     return %selected;
3308 }
3309 END_OF_FUNC
3310
3311 'register_parameter' => <<'END_OF_FUNC',
3312 sub register_parameter {
3313     my($self,$param) = @_;
3314     $self->{'.parametersToAdd'}->{$param}++;
3315 }
3316 END_OF_FUNC
3317
3318 'get_fields' => <<'END_OF_FUNC',
3319 sub get_fields {
3320     my($self) = @_;
3321     return $self->CGI::hidden('-name'=>'.cgifields',
3322                               '-values'=>[keys %{$self->{'.parametersToAdd'}}],
3323                               '-override'=>1);
3324 }
3325 END_OF_FUNC
3326
3327 'read_from_cmdline' => <<'END_OF_FUNC',
3328 sub read_from_cmdline {
3329     my($input,@words);
3330     my($query_string);
3331     my($subpath);
3332     if ($DEBUG && @ARGV) {
3333         @words = @ARGV;
3334     } elsif ($DEBUG > 1) {
3335         require "shellwords.pl";
3336         print STDERR "(offline mode: enter name=value pairs on standard input; press ^D or ^Z when done)\n";
3337         chomp(@lines = <STDIN>); # remove newlines
3338         $input = join(" ",@lines);
3339         @words = &shellwords($input);    
3340     }
3341     foreach (@words) {
3342         s/\\=/%3D/g;
3343         s/\\&/%26/g;        
3344     }
3345
3346     if ("@words"=~/=/) {
3347         $query_string = join('&',@words);
3348     } else {
3349         $query_string = join('+',@words);
3350     }
3351     if ($query_string =~ /^(.*?)\?(.*)$/)
3352     {
3353         $query_string = $2;
3354         $subpath = $1;
3355     }
3356     return { 'query_string' => $query_string, 'subpath' => $subpath };
3357 }
3358 END_OF_FUNC
3359
3360 #####
3361 # subroutine: read_multipart
3362 #
3363 # Read multipart data and store it into our parameters.
3364 # An interesting feature is that if any of the parts is a file, we
3365 # create a temporary file and open up a filehandle on it so that the
3366 # caller can read from it if necessary.
3367 #####
3368 'read_multipart' => <<'END_OF_FUNC',
3369 sub read_multipart {
3370     my($self,$boundary,$length) = @_;
3371     my($buffer) = $self->new_MultipartBuffer($boundary,$length);
3372     return unless $buffer;
3373     my(%header,$body);
3374     my $filenumber = 0;
3375     while (!$buffer->eof) {
3376         %header = $buffer->readHeader;
3377
3378         unless (%header) {
3379             $self->cgi_error("400 Bad request (malformed multipart POST)");
3380             return;
3381         }
3382
3383         my($param)= $header{'Content-Disposition'}=~/ name="([^"]*)"/;
3384         $param .= $TAINTED;
3385
3386         # Bug:  Netscape doesn't escape quotation marks in file names!!!
3387         # See RFC 1867, 2183, 2045
3388         # NB: File content will be loaded into memory should
3389         # content-disposition parsing fail.
3390         my ($filename) = $header{'Content-Disposition'}=~/ filename=(("[^"]*")|([a-z\d!\#'\*\+,\.^_\`\{\}\|\~]*))/i;
3391         $filename =~ s/^"([^"]*)"$/$1/;
3392         # Test for Opera's multiple upload feature
3393         my($multipart) = ( defined( $header{'Content-Type'} ) &&
3394                 $header{'Content-Type'} =~ /multipart\/mixed/ ) ?
3395                 1 : 0;
3396
3397         # add this parameter to our list
3398         $self->add_parameter($param);
3399
3400         # If no filename specified, then just read the data and assign it
3401         # to our parameter list.
3402         if ( ( !defined($filename) || $filename eq '' ) && !$multipart ) {
3403             my($value) = $buffer->readBody;
3404             $value .= $TAINTED;
3405             push(@{$self->{$param}},$value);
3406             next;
3407         }
3408
3409         my ($tmpfile,$tmp,$filehandle);
3410       UPLOADS: {
3411           # If we get here, then we are dealing with a potentially large
3412           # uploaded form.  Save the data to a temporary file, then open
3413           # the file for reading.
3414
3415           # skip the file if uploads disabled
3416           if ($DISABLE_UPLOADS) {
3417               while (defined($data = $buffer->read)) { }
3418               last UPLOADS;
3419           }
3420
3421           # set the filename to some recognizable value
3422           if ( ( !defined($filename) || $filename eq '' ) && $multipart ) {
3423               $filename = "multipart/mixed";
3424           }
3425
3426           # choose a relatively unpredictable tmpfile sequence number
3427           my $seqno = unpack("%16C*",join('',localtime,grep {defined $_} values %ENV));
3428           for (my $cnt=10;$cnt>0;$cnt--) {
3429             next unless $tmpfile = new CGITempFile($seqno);
3430             $tmp = $tmpfile->as_string;
3431             last if defined($filehandle = Fh->new($filename,$tmp,$PRIVATE_TEMPFILES));
3432             $seqno += int rand(100);
3433           }
3434           die "CGI open of tmpfile: $!\n" unless defined $filehandle;
3435           $CGI::DefaultClass->binmode($filehandle) if $CGI::needs_binmode 
3436                      && defined fileno($filehandle);
3437
3438           # if this is an multipart/mixed attachment, save the header
3439           # together with the body for later parsing with an external
3440           # MIME parser module
3441           if ( $multipart ) {
3442               foreach ( keys %header ) {
3443                   print $filehandle "$_: $header{$_}${CRLF}";
3444               }
3445               print $filehandle "${CRLF}";
3446           }
3447
3448           my ($data);
3449           local($\) = '';
3450           my $totalbytes = 0;
3451           while (defined($data = $buffer->read)) {
3452               if (defined $self->{'.upload_hook'})
3453                {
3454                   $totalbytes += length($data);
3455                    &{$self->{'.upload_hook'}}($filename ,$data, $totalbytes, $self->{'.upload_data'});
3456               }
3457               print $filehandle $data if ($self->{'use_tempfile'});
3458           }
3459
3460           # back up to beginning of file
3461           seek($filehandle,0,0);
3462
3463       ## Close the filehandle if requested this allows a multipart MIME
3464       ## upload to contain many files, and we won't die due to too many
3465       ## open file handles. The user can access the files using the hash
3466       ## below.
3467       close $filehandle if $CLOSE_UPLOAD_FILES;
3468           $CGI::DefaultClass->binmode($filehandle) if $CGI::needs_binmode;
3469
3470           # Save some information about the uploaded file where we can get
3471           # at it later.
3472           # Use the typeglob as the key, as this is guaranteed to be
3473           # unique for each filehandle.  Don't use the file descriptor as
3474           # this will be re-used for each filehandle if the
3475           # close_upload_files feature is used.
3476           $self->{'.tmpfiles'}->{$$filehandle}= {
3477               hndl => $filehandle,
3478               name => $tmpfile,
3479               info => {%header},
3480           };
3481           push(@{$self->{$param}},$filehandle);
3482       }
3483     }
3484 }
3485 END_OF_FUNC
3486
3487 #####
3488 # subroutine: read_multipart_related
3489 #
3490 # Read multipart/related data and store it into our parameters.  The
3491 # first parameter sets the start of the data. The part identified by
3492 # this Content-ID will not be stored as a file upload, but will be
3493 # returned by this method.  All other parts will be available as file
3494 # uploads accessible by their Content-ID
3495 #####
3496 'read_multipart_related' => <<'END_OF_FUNC',
3497 sub read_multipart_related {
3498     my($self,$start,$boundary,$length) = @_;
3499     my($buffer) = $self->new_MultipartBuffer($boundary,$length);
3500     return unless $buffer;
3501     my(%header,$body);
3502     my $filenumber = 0;
3503     my $returnvalue;
3504     while (!$buffer->eof) {
3505         %header = $buffer->readHeader;
3506
3507         unless (%header) {
3508             $self->cgi_error("400 Bad request (malformed multipart POST)");
3509             return;
3510         }
3511
3512         my($param) = $header{'Content-ID'}=~/\<([^\>]*)\>/;
3513         $param .= $TAINTED;
3514
3515         # If this is the start part, then just read the data and assign it
3516         # to our return variable.
3517         if ( $param eq $start ) {
3518             $returnvalue = $buffer->readBody;
3519             $returnvalue .= $TAINTED;
3520             next;
3521         }
3522
3523         # add this parameter to our list
3524         $self->add_parameter($param);
3525
3526         my ($tmpfile,$tmp,$filehandle);
3527       UPLOADS: {
3528           # If we get here, then we are dealing with a potentially large
3529           # uploaded form.  Save the data to a temporary file, then open
3530           # the file for reading.
3531
3532           # skip the file if uploads disabled
3533           if ($DISABLE_UPLOADS) {
3534               while (defined($data = $buffer->read)) { }
3535               last UPLOADS;
3536           }
3537
3538           # choose a relatively unpredictable tmpfile sequence number
3539           my $seqno = unpack("%16C*",join('',localtime,grep {defined $_} values %ENV));
3540           for (my $cnt=10;$cnt>0;$cnt--) {
3541             next unless $tmpfile = new CGITempFile($seqno);
3542             $tmp = $tmpfile->as_string;
3543             last if defined($filehandle = Fh->new($param,$tmp,$PRIVATE_TEMPFILES));
3544             $seqno += int rand(100);
3545           }
3546           die "CGI open of tmpfile: $!\n" unless defined $filehandle;
3547           $CGI::DefaultClass->binmode($filehandle) if $CGI::needs_binmode 
3548                      && defined fileno($filehandle);
3549
3550           my ($data);
3551           local($\) = '';
3552           my $totalbytes;
3553           while (defined($data = $buffer->read)) {
3554               if (defined $self->{'.upload_hook'})
3555                {
3556                   $totalbytes += length($data);
3557                    &{$self->{'.upload_hook'}}($param ,$data, $totalbytes, $self->{'.upload_data'});
3558               }
3559               print $filehandle $data if ($self->{'use_tempfile'});
3560           }
3561
3562           # back up to beginning of file
3563           seek($filehandle,0,0);
3564
3565       ## Close the filehandle if requested this allows a multipart MIME
3566       ## upload to contain many files, and we won't die due to too many
3567       ## open file handles. The user can access the files using the hash
3568       ## below.
3569       close $filehandle if $CLOSE_UPLOAD_FILES;
3570           $CGI::DefaultClass->binmode($filehandle) if $CGI::needs_binmode;
3571
3572           # Save some information about the uploaded file where we can get
3573           # at it later.
3574           # Use the typeglob as the key, as this is guaranteed to be
3575           # unique for each filehandle.  Don't use the file descriptor as
3576           # this will be re-used for each filehandle if the
3577           # close_upload_files feature is used.
3578           $self->{'.tmpfiles'}->{$$filehandle}= {
3579               hndl => $filehandle,
3580               name => $tmpfile,
3581               info => {%header},
3582           };
3583           push(@{$self->{$param}},$filehandle);
3584       }
3585     }
3586     return $returnvalue;
3587 }
3588 END_OF_FUNC
3589
3590
3591 'upload' =><<'END_OF_FUNC',
3592 sub upload {
3593     my($self,$param_name) = self_or_default(@_);
3594     my @param = grep {ref($_) && defined(fileno($_))} $self->param($param_name);
3595     return unless @param;
3596     return wantarray ? @param : $param[0];
3597 }
3598 END_OF_FUNC
3599
3600 'tmpFileName' => <<'END_OF_FUNC',
3601 sub tmpFileName {
3602     my($self,$filename) = self_or_default(@_);
3603     return $self->{'.tmpfiles'}->{$$filename}->{name} ?
3604         $self->{'.tmpfiles'}->{$$filename}->{name}->as_string
3605             : '';
3606 }
3607 END_OF_FUNC
3608
3609 'uploadInfo' => <<'END_OF_FUNC',
3610 sub uploadInfo {
3611     my($self,$filename) = self_or_default(@_);
3612     return $self->{'.tmpfiles'}->{$$filename}->{info};
3613 }
3614 END_OF_FUNC
3615
3616 # internal routine, don't use
3617 '_set_values_and_labels' => <<'END_OF_FUNC',
3618 sub _set_values_and_labels {
3619     my $self = shift;
3620     my ($v,$l,$n) = @_;
3621     $$l = $v if ref($v) eq 'HASH' && !ref($$l);
3622     return $self->param($n) if !defined($v);
3623     return $v if !ref($v);
3624     return ref($v) eq 'HASH' ? keys %$v : @$v;
3625 }
3626 END_OF_FUNC
3627
3628 # internal routine, don't use
3629 '_set_attributes' => <<'END_OF_FUNC',
3630 sub _set_attributes {
3631     my $self = shift;
3632     my($element, $attributes) = @_;
3633     return '' unless defined($attributes->{$element});
3634     $attribs = ' ';
3635     foreach my $attrib (keys %{$attributes->{$element}}) {
3636         (my $clean_attrib = $attrib) =~ s/^-//;
3637         $attribs .= "@{[lc($clean_attrib)]}=\"$attributes->{$element}{$attrib}\" ";
3638     }
3639     $attribs =~ s/ $//;
3640     return $attribs;
3641 }
3642 END_OF_FUNC
3643
3644 '_compile_all' => <<'END_OF_FUNC',
3645 sub _compile_all {
3646     foreach (@_) {
3647         next if defined(&$_);
3648         $AUTOLOAD = "CGI::$_";
3649         _compile();
3650     }
3651 }
3652 END_OF_FUNC
3653
3654 );
3655 END_OF_AUTOLOAD
3656 ;
3657
3658 #########################################################
3659 # Globals and stubs for other packages that we use.
3660 #########################################################
3661
3662 ################### Fh -- lightweight filehandle ###############
3663 package Fh;
3664 use overload 
3665     '""'  => \&asString,
3666     'cmp' => \&compare,
3667     'fallback'=>1;
3668
3669 $FH='fh00000';
3670
3671 *Fh::AUTOLOAD = \&CGI::AUTOLOAD;
3672
3673 sub DESTROY {
3674     my $self = shift;
3675     close $self;
3676 }
3677
3678 $AUTOLOADED_ROUTINES = '';      # prevent -w error
3679 $AUTOLOADED_ROUTINES=<<'END_OF_AUTOLOAD';
3680 %SUBS =  (
3681 'asString' => <<'END_OF_FUNC',
3682 sub asString {
3683     my $self = shift;
3684     # get rid of package name
3685     (my $i = $$self) =~ s/^\*(\w+::fh\d{5})+//; 
3686     $i =~ s/%(..)/ chr(hex($1)) /eg;
3687     return $i.$CGI::TAINTED;
3688 # BEGIN DEAD CODE
3689 # This was an extremely clever patch that allowed "use strict refs".
3690 # Unfortunately it relied on another bug that caused leaky file descriptors.
3691 # The underlying bug has been fixed, so this no longer works.  However
3692 # "strict refs" still works for some reason.
3693 #    my $self = shift;
3694 #    return ${*{$self}{SCALAR}};
3695 # END DEAD CODE
3696 }
3697 END_OF_FUNC
3698
3699 'compare' => <<'END_OF_FUNC',
3700 sub compare {
3701     my $self = shift;
3702     my $value = shift;
3703     return "$self" cmp $value;
3704 }
3705 END_OF_FUNC
3706
3707 'new'  => <<'END_OF_FUNC',
3708 sub new {
3709     my($pack,$name,$file,$delete) = @_;
3710     _setup_symbols(@SAVED_SYMBOLS) if @SAVED_SYMBOLS;
3711     require Fcntl unless defined &Fcntl::O_RDWR;
3712     (my $safename = $name) =~ s/([':%])/ sprintf '%%%02X', ord $1 /eg;
3713     my $fv = ++$FH . $safename;
3714     my $ref = \*{"Fh::$fv"};
3715     $file =~ m!^([a-zA-Z0-9_\+ \'\":/.\$\\-]+)$! || return;
3716     my $safe = $1;
3717     sysopen($ref,$safe,Fcntl::O_RDWR()|Fcntl::O_CREAT()|Fcntl::O_EXCL(),0600) || return;
3718     unlink($safe) if $delete;
3719     CORE::delete $Fh::{$fv};
3720     return bless $ref,$pack;
3721 }
3722 END_OF_FUNC
3723
3724 );
3725 END_OF_AUTOLOAD
3726
3727 ######################## MultipartBuffer ####################
3728 package MultipartBuffer;
3729
3730 use constant DEBUG => 0;
3731
3732 # how many bytes to read at a time.  We use
3733 # a 4K buffer by default.
3734 $INITIAL_FILLUNIT = 1024 * 4;
3735 $TIMEOUT = 240*60;       # 4 hour timeout for big files
3736 $SPIN_LOOP_MAX = 2000;  # bug fix for some Netscape servers
3737 $CRLF=$CGI::CRLF;
3738
3739 #reuse the autoload function
3740 *MultipartBuffer::AUTOLOAD = \&CGI::AUTOLOAD;
3741
3742 # avoid autoloader warnings
3743 sub DESTROY {}
3744
3745 ###############################################################################
3746 ################# THESE FUNCTIONS ARE AUTOLOADED ON DEMAND ####################
3747 ###############################################################################
3748 $AUTOLOADED_ROUTINES = '';      # prevent -w error
3749 $AUTOLOADED_ROUTINES=<<'END_OF_AUTOLOAD';
3750 %SUBS =  (
3751
3752 'new' => <<'END_OF_FUNC',
3753 sub new {
3754     my($package,$interface,$boundary,$length) = @_;
3755     $FILLUNIT = $INITIAL_FILLUNIT;
3756     $CGI::DefaultClass->binmode($IN); # if $CGI::needs_binmode;  # just do it always
3757
3758     # If the user types garbage into the file upload field,
3759     # then Netscape passes NOTHING to the server (not good).
3760     # We may hang on this read in that case. So we implement
3761     # a read timeout.  If nothing is ready to read
3762     # by then, we return.
3763
3764     # Netscape seems to be a little bit unreliable
3765     # about providing boundary strings.
3766     my $boundary_read = 0;
3767     if ($boundary) {
3768
3769         # Under the MIME spec, the boundary consists of the 
3770         # characters "--" PLUS the Boundary string
3771
3772         # BUG: IE 3.01 on the Macintosh uses just the boundary -- not
3773         # the two extra hyphens.  We do a special case here on the user-agent!!!!
3774         $boundary = "--$boundary" unless CGI::user_agent('MSIE\s+3\.0[12];\s*Mac|DreamPassport');
3775
3776     } else { # otherwise we find it ourselves
3777         my($old);
3778         ($old,$/) = ($/,$CRLF); # read a CRLF-delimited line
3779         $boundary = <STDIN>;      # BUG: This won't work correctly under mod_perl
3780         $length -= length($boundary);
3781         chomp($boundary);               # remove the CRLF
3782         $/ = $old;                      # restore old line separator
3783         $boundary_read++;
3784     }
3785
3786     my $self = {LENGTH=>$length,
3787                 CHUNKED=>!defined $length,
3788                 BOUNDARY=>$boundary,
3789                 INTERFACE=>$interface,
3790                 BUFFER=>'',
3791             };
3792
3793     $FILLUNIT = length($boundary)
3794         if length($boundary) > $FILLUNIT;
3795
3796     my $retval = bless $self,ref $package || $package;
3797
3798     # Read the preamble and the topmost (boundary) line plus the CRLF.
3799     unless ($boundary_read) {
3800       while ($self->read(0)) { }
3801     }
3802     die "Malformed multipart POST: data truncated\n" if $self->eof;
3803
3804     return $retval;
3805 }
3806 END_OF_FUNC
3807
3808 'readHeader' => <<'END_OF_FUNC',
3809 sub readHeader {
3810     my($self) = @_;
3811     my($end);
3812     my($ok) = 0;
3813     my($bad) = 0;
3814
3815     local($CRLF) = "\015\012" if $CGI::OS eq 'VMS' || $CGI::EBCDIC;
3816
3817     do {
3818         $self->fillBuffer($FILLUNIT);
3819         $ok++ if ($end = index($self->{BUFFER},"${CRLF}${CRLF}")) >= 0;
3820         $ok++ if $self->{BUFFER} eq '';
3821         $bad++ if !$ok && $self->{LENGTH} <= 0;
3822         # this was a bad idea
3823         # $FILLUNIT *= 2 if length($self->{BUFFER}) >= $FILLUNIT; 
3824     } until $ok || $bad;
3825     return () if $bad;
3826
3827     #EBCDIC NOTE: translate header into EBCDIC, but watch out for continuation lines!
3828
3829     my($header) = substr($self->{BUFFER},0,$end+2);
3830     substr($self->{BUFFER},0,$end+4) = '';
3831     my %return;
3832
3833     if ($CGI::EBCDIC) {
3834       warn "untranslated header=$header\n" if DEBUG;
3835       $header = CGI::Util::ascii2ebcdic($header);
3836       warn "translated header=$header\n" if DEBUG;
3837     }
3838
3839     # See RFC 2045 Appendix A and RFC 822 sections 3.4.8
3840     #   (Folding Long Header Fields), 3.4.3 (Comments)
3841     #   and 3.4.5 (Quoted-Strings).
3842
3843     my $token = '[-\w!\#$%&\'*+.^_\`|{}~]';
3844     $header=~s/$CRLF\s+/ /og;           # merge continuation lines
3845
3846     while ($header=~/($token+):\s+([^$CRLF]*)/mgox) {
3847         my ($field_name,$field_value) = ($1,$2);
3848         $field_name =~ s/\b(\w)/uc($1)/eg; #canonicalize
3849         $return{$field_name}=$field_value;
3850     }
3851     return %return;
3852 }
3853 END_OF_FUNC
3854
3855 # This reads and returns the body as a single scalar value.
3856 'readBody' => <<'END_OF_FUNC',
3857 sub readBody {
3858     my($self) = @_;
3859     my($data);
3860     my($returnval)='';
3861
3862     #EBCDIC NOTE: want to translate returnval into EBCDIC HERE
3863
3864     while (defined($data = $self->read)) {
3865         $returnval .= $data;
3866     }
3867
3868     if ($CGI::EBCDIC) {
3869       warn "untranslated body=$returnval\n" if DEBUG;
3870       $returnval = CGI::Util::ascii2ebcdic($returnval);
3871       warn "translated body=$returnval\n"   if DEBUG;
3872     }
3873     return $returnval;
3874 }
3875 END_OF_FUNC
3876
3877 # This will read $bytes or until the boundary is hit, whichever happens
3878 # first.  After the boundary is hit, we return undef.  The next read will
3879 # skip over the boundary and begin reading again;
3880 'read' => <<'END_OF_FUNC',
3881 sub read {
3882     my($self,$bytes) = @_;
3883
3884     # default number of bytes to read
3885     $bytes = $bytes || $FILLUNIT;
3886
3887     # Fill up our internal buffer in such a way that the boundary
3888     # is never split between reads.
3889     $self->fillBuffer($bytes);
3890
3891     my $boundary_start = $CGI::EBCDIC ? CGI::Util::ebcdic2ascii($self->{BOUNDARY})      : $self->{BOUNDARY};
3892     my $boundary_end   = $CGI::EBCDIC ? CGI::Util::ebcdic2ascii($self->{BOUNDARY}.'--') : $self->{BOUNDARY}.'--';
3893
3894     # Find the boundary in the buffer (it may not be there).
3895     my $start = index($self->{BUFFER},$boundary_start);
3896
3897     warn "boundary=$self->{BOUNDARY} length=$self->{LENGTH} start=$start\n" if DEBUG;
3898
3899     # protect against malformed multipart POST operations
3900     die "Malformed multipart POST\n" unless $self->{CHUNKED} || ($start >= 0 || $self->{LENGTH} > 0);
3901
3902     #EBCDIC NOTE: want to translate boundary search into ASCII here.
3903
3904     # If the boundary begins the data, then skip past it
3905     # and return undef.
3906     if ($start == 0) {
3907
3908         # clear us out completely if we've hit the last boundary.
3909         if (index($self->{BUFFER},$boundary_end)==0) {
3910             $self->{BUFFER}='';
3911             $self->{LENGTH}=0;
3912             return undef;
3913         }
3914
3915         # just remove the boundary.
3916         substr($self->{BUFFER},0,length($boundary_start))='';
3917         $self->{BUFFER} =~ s/^\012\015?//;
3918         return undef;
3919     }
3920
3921     my $bytesToReturn;
3922     if ($start > 0) {           # read up to the boundary
3923         $bytesToReturn = $start-2 > $bytes ? $bytes : $start;
3924     } else {    # read the requested number of bytes
3925         # leave enough bytes in the buffer to allow us to read
3926         # the boundary.  Thanks to Kevin Hendrick for finding
3927         # this one.
3928         $bytesToReturn = $bytes - (length($boundary_start)+1);
3929     }
3930
3931     my $returnval=substr($self->{BUFFER},0,$bytesToReturn);
3932     substr($self->{BUFFER},0,$bytesToReturn)='';
3933     
3934     # If we hit the boundary, remove the CRLF from the end.
3935     return ($bytesToReturn==$start)
3936            ? substr($returnval,0,-2) : $returnval;
3937 }
3938 END_OF_FUNC
3939
3940
3941 # This fills up our internal buffer in such a way that the
3942 # boundary is never split between reads
3943 'fillBuffer' => <<'END_OF_FUNC',
3944 sub fillBuffer {
3945     my($self,$bytes) = @_;
3946     return unless $self->{CHUNKED} || $self->{LENGTH};
3947
3948     my($boundaryLength) = length($self->{BOUNDARY});
3949     my($bufferLength) = length($self->{BUFFER});
3950     my($bytesToRead) = $bytes - $bufferLength + $boundaryLength + 2;
3951     $bytesToRead = $self->{LENGTH} if !$self->{CHUNKED} && $self->{LENGTH} < $bytesToRead;
3952
3953     # Try to read some data.  We may hang here if the browser is screwed up.
3954     my $bytesRead = $self->{INTERFACE}->read_from_client(\$self->{BUFFER},
3955                                                          $bytesToRead,
3956                                                          $bufferLength);
3957     warn "bytesToRead=$bytesToRead, bufferLength=$bufferLength, buffer=$self->{BUFFER}\n" if DEBUG;
3958     $self->{BUFFER} = '' unless defined $self->{BUFFER};
3959
3960     # An apparent bug in the Apache server causes the read()
3961     # to return zero bytes repeatedly without blocking if the
3962     # remote user aborts during a file transfer.  I don't know how
3963     # they manage this, but the workaround is to abort if we get
3964     # more than SPIN_LOOP_MAX consecutive zero reads.
3965     if ($bytesRead <= 0) {
3966         die  "CGI.pm: Server closed socket during multipart read (client aborted?).\n"
3967             if ($self->{ZERO_LOOP_COUNTER}++ >= $SPIN_LOOP_MAX);
3968     } else {
3969         $self->{ZERO_LOOP_COUNTER}=0;
3970     }
3971
3972     $self->{LENGTH} -= $bytesRead if !$self->{CHUNKED} && $bytesRead;
3973 }
3974 END_OF_FUNC
3975
3976
3977 # Return true when we've finished reading
3978 'eof' => <<'END_OF_FUNC'
3979 sub eof {
3980     my($self) = @_;
3981     return 1 if (length($self->{BUFFER}) == 0)
3982                  && ($self->{LENGTH} <= 0);
3983     undef;
3984 }
3985 END_OF_FUNC
3986
3987 );
3988 END_OF_AUTOLOAD
3989
3990 ####################################################################################
3991 ################################## TEMPORARY FILES #################################
3992 ####################################################################################
3993 package CGITempFile;
3994
3995 sub find_tempdir {
3996   $SL = $CGI::SL;
3997   $MAC = $CGI::OS eq 'MACINTOSH';
3998   my ($vol) = $MAC ? MacPerl::Volumes() =~ /:(.*)/ : "";
3999   unless (defined $TMPDIRECTORY) {
4000     @TEMP=("${SL}usr${SL}tmp","${SL}var${SL}tmp",
4001            "C:${SL}temp","${SL}tmp","${SL}temp",
4002            "${vol}${SL}Temporary Items",
4003            "${SL}WWW_ROOT", "${SL}SYS\$SCRATCH",
4004            "C:${SL}system${SL}temp");
4005     unshift(@TEMP,$ENV{'TMPDIR'}) if defined $ENV{'TMPDIR'};
4006
4007     # this feature was supposed to provide per-user tmpfiles, but
4008     # it is problematic.
4009     #    unshift(@TEMP,(getpwuid($<))[7].'/tmp') if $CGI::OS eq 'UNIX';
4010     # Rob: getpwuid() is unfortunately UNIX specific. On brain dead OS'es this
4011     #    : can generate a 'getpwuid() not implemented' exception, even though
4012     #    : it's never called.  Found under DOS/Win with the DJGPP perl port.
4013     #    : Refer to getpwuid() only at run-time if we're fortunate and have  UNIX.
4014     # unshift(@TEMP,(eval {(getpwuid($>))[7]}).'/tmp') if $CGI::OS eq 'UNIX' and $> != 0;
4015
4016     foreach (@TEMP) {
4017       do {$TMPDIRECTORY = $_; last} if -d $_ && -w _;
4018     }
4019   }
4020   $TMPDIRECTORY  = $MAC ? "" : "." unless $TMPDIRECTORY;
4021 }
4022
4023 find_tempdir();
4024
4025 $MAXTRIES = 5000;
4026
4027 # cute feature, but overload implementation broke it
4028 # %OVERLOAD = ('""'=>'as_string');
4029 *CGITempFile::AUTOLOAD = \&CGI::AUTOLOAD;
4030
4031 sub DESTROY {
4032     my($self) = @_;
4033     $$self =~ m!^([a-zA-Z0-9_ \'\":/.\$\\-]+)$! || return;
4034     my $safe = $1;             # untaint operation
4035     unlink $safe;              # get rid of the file
4036 }
4037
4038 ###############################################################################
4039 ################# THESE FUNCTIONS ARE AUTOLOADED ON DEMAND ####################
4040 ###############################################################################
4041 $AUTOLOADED_ROUTINES = '';      # prevent -w error
4042 $AUTOLOADED_ROUTINES=<<'END_OF_AUTOLOAD';
4043 %SUBS = (
4044
4045 'new' => <<'END_OF_FUNC',
4046 sub new {
4047     my($package,$sequence) = @_;
4048     my $filename;
4049     find_tempdir() unless -w $TMPDIRECTORY;
4050     for (my $i = 0; $i < $MAXTRIES; $i++) {
4051         last if ! -f ($filename = sprintf("\%s${SL}CGItemp%d",$TMPDIRECTORY,$sequence++));
4052     }
4053     # check that it is a more-or-less valid filename
4054     return unless $filename =~ m!^([a-zA-Z0-9_\+ \'\":/.\$\\-]+)$!;
4055     # this used to untaint, now it doesn't
4056     # $filename = $1;
4057     return bless \$filename;
4058 }
4059 END_OF_FUNC
4060
4061 'as_string' => <<'END_OF_FUNC'
4062 sub as_string {
4063     my($self) = @_;
4064     return $$self;
4065 }
4066 END_OF_FUNC
4067
4068 );
4069 END_OF_AUTOLOAD
4070
4071 package CGI;
4072
4073 # We get a whole bunch of warnings about "possibly uninitialized variables"
4074 # when running with the -w switch.  Touch them all once to get rid of the
4075 # warnings.  This is ugly and I hate it.
4076 if ($^W) {
4077     $CGI::CGI = '';
4078     $CGI::CGI=<<EOF;
4079     $CGI::VERSION;
4080     $MultipartBuffer::SPIN_LOOP_MAX;
4081     $MultipartBuffer::CRLF;
4082     $MultipartBuffer::TIMEOUT;
4083     $MultipartBuffer::INITIAL_FILLUNIT;
4084 EOF
4085     ;
4086 }
4087
4088 1;
4089
4090 __END__
4091
4092 =head1 NAME
4093
4094 CGI - Simple Common Gateway Interface Class
4095
4096 =head1 SYNOPSIS
4097
4098   # CGI script that creates a fill-out form
4099   # and echoes back its values.
4100
4101   use CGI qw/:standard/;
4102   print header,
4103         start_html('A Simple Example'),
4104         h1('A Simple Example'),
4105         start_form,
4106         "What's your name? ",textfield('name'),p,
4107         "What's the combination?", p,
4108         checkbox_group(-name=>'words',
4109                        -values=>['eenie','meenie','minie','moe'],
4110                        -defaults=>['eenie','minie']), p,
4111         "What's your favorite color? ",
4112         popup_menu(-name=>'color',
4113                    -values=>['red','green','blue','chartreuse']),p,
4114         submit,
4115         end_form,
4116         hr;
4117
4118    if (param()) {
4119        my $name      = param('name');
4120        my $keywords  = join ', ',param('words');
4121        my $color     = param('color');
4122        print "Your name is",em(escapeHTML($name)),p,
4123              "The keywords are: ",em(escapeHTML($keywords)),p,
4124              "Your favorite color is ",em(escapeHTML($color)),
4125              hr;
4126    }
4127
4128    print end_html;
4129
4130 =head1 ABSTRACT
4131
4132 This perl library uses perl5 objects to make it easy to create Web
4133 fill-out forms and parse their contents.  This package defines CGI
4134 objects, entities that contain the values of the current query string
4135 and other state variables.  Using a CGI object's methods, you can
4136 examine keywords and parameters passed to your script, and create
4137 forms whose initial values are taken from the current query (thereby
4138 preserving state information).  The module provides shortcut functions
4139 that produce boilerplate HTML, reducing typing and coding errors. It
4140 also provides functionality for some of the more advanced features of
4141 CGI scripting, including support for file uploads, cookies, cascading
4142 style sheets, server push, and frames.
4143
4144 CGI.pm also provides a simple function-oriented programming style for
4145 those who don't need its object-oriented features.
4146
4147 The current version of CGI.pm is available at
4148
4149   http://www.genome.wi.mit.edu/ftp/pub/software/WWW/cgi_docs.html
4150   ftp://ftp-genome.wi.mit.edu/pub/software/WWW/
4151
4152 =head1 DESCRIPTION
4153
4154 =head2 PROGRAMMING STYLE
4155
4156 There are two styles of programming with CGI.pm, an object-oriented
4157 style and a function-oriented style.  In the object-oriented style you
4158 create one or more CGI objects and then use object methods to create
4159 the various elements of the page.  Each CGI object starts out with the
4160 list of named parameters that were passed to your CGI script by the
4161 server.  You can modify the objects, save them to a file or database
4162 and recreate them.  Because each object corresponds to the "state" of
4163 the CGI script, and because each object's parameter list is
4164 independent of the others, this allows you to save the state of the
4165 script and restore it later.
4166
4167 For example, using the object oriented style, here is how you create
4168 a simple "Hello World" HTML page:
4169
4170    #!/usr/local/bin/perl -w
4171    use CGI;                             # load CGI routines
4172    $q = new CGI;                        # create new CGI object
4173    print $q->header,                    # create the HTTP header
4174          $q->start_html('hello world'), # start the HTML
4175          $q->h1('hello world'),         # level 1 header
4176          $q->end_html;                  # end the HTML
4177
4178 In the function-oriented style, there is one default CGI object that
4179 you rarely deal with directly.  Instead you just call functions to
4180 retrieve CGI parameters, create HTML tags, manage cookies, and so
4181 on.  This provides you with a cleaner programming interface, but
4182 limits you to using one CGI object at a time.  The following example
4183 prints the same page, but uses the function-oriented interface.
4184 The main differences are that we now need to import a set of functions
4185 into our name space (usually the "standard" functions), and we don't
4186 need to create the CGI object.
4187
4188    #!/usr/local/bin/perl
4189    use CGI qw/:standard/;           # load standard CGI routines
4190    print header,                    # create the HTTP header
4191          start_html('hello world'), # start the HTML
4192          h1('hello world'),         # level 1 header
4193          end_html;                  # end the HTML
4194
4195 The examples in this document mainly use the object-oriented style.
4196 See HOW TO IMPORT FUNCTIONS for important information on
4197 function-oriented programming in CGI.pm
4198
4199 =head2 CALLING CGI.PM ROUTINES
4200
4201 Most CGI.pm routines accept several arguments, sometimes as many as 20
4202 optional ones!  To simplify this interface, all routines use a named
4203 argument calling style that looks like this:
4204
4205    print $q->header(-type=>'image/gif',-expires=>'+3d');
4206
4207 Each argument name is preceded by a dash.  Neither case nor order
4208 matters in the argument list.  -type, -Type, and -TYPE are all
4209 acceptable.  In fact, only the first argument needs to begin with a
4210 dash.  If a dash is present in the first argument, CGI.pm assumes
4211 dashes for the subsequent ones.
4212
4213 Several routines are commonly called with just one argument.  In the
4214 case of these routines you can provide the single argument without an
4215 argument name.  header() happens to be one of these routines.  In this
4216 case, the single argument is the document type.
4217
4218    print $q->header('text/html');
4219
4220 Other such routines are documented below.
4221
4222 Sometimes named arguments expect a scalar, sometimes a reference to an
4223 array, and sometimes a reference to a hash.  Often, you can pass any
4224 type of argument and the routine will do whatever is most appropriate.
4225 For example, the param() routine is used to set a CGI parameter to a
4226 single or a multi-valued value.  The two cases are shown below:
4227
4228    $q->param(-name=>'veggie',-value=>'tomato');
4229    $q->param(-name=>'veggie',-value=>['tomato','tomahto','potato','potahto']);
4230
4231 A large number of routines in CGI.pm actually aren't specifically
4232 defined in the module, but are generated automatically as needed.
4233 These are the "HTML shortcuts," routines that generate HTML tags for
4234 use in dynamically-generated pages.  HTML tags have both attributes
4235 (the attribute="value" pairs within the tag itself) and contents (the
4236 part between the opening and closing pairs.)  To distinguish between
4237 attributes and contents, CGI.pm uses the convention of passing HTML
4238 attributes as a hash reference as the first argument, and the
4239 contents, if any, as any subsequent arguments.  It works out like
4240 this:
4241
4242    Code                           Generated HTML
4243    ----                           --------------
4244    h1()                           <h1>
4245    h1('some','contents');         <h1>some contents</h1>
4246    h1({-align=>left});            <h1 align="LEFT">
4247    h1({-align=>left},'contents'); <h1 align="LEFT">contents</h1>
4248
4249 HTML tags are described in more detail later.
4250
4251 Many newcomers to CGI.pm are puzzled by the difference between the
4252 calling conventions for the HTML shortcuts, which require curly braces
4253 around the HTML tag attributes, and the calling conventions for other
4254 routines, which manage to generate attributes without the curly
4255 brackets.  Don't be confused.  As a convenience the curly braces are
4256 optional in all but the HTML shortcuts.  If you like, you can use
4257 curly braces when calling any routine that takes named arguments.  For
4258 example:
4259
4260    print $q->header( {-type=>'image/gif',-expires=>'+3d'} );
4261
4262 If you use the B<-w> switch, you will be warned that some CGI.pm argument
4263 names conflict with built-in Perl functions.  The most frequent of
4264 these is the -values argument, used to create multi-valued menus,
4265 radio button clusters and the like.  To get around this warning, you
4266 have several choices:
4267
4268 =over 4
4269
4270 =item 1.
4271
4272 Use another name for the argument, if one is available. 
4273 For example, -value is an alias for -values.
4274
4275 =item 2.
4276
4277 Change the capitalization, e.g. -Values
4278
4279 =item 3.
4280
4281 Put quotes around the argument name, e.g. '-values'
4282
4283 =back
4284
4285 Many routines will do something useful with a named argument that it
4286 doesn't recognize.  For example, you can produce non-standard HTTP
4287 header fields by providing them as named arguments:
4288
4289   print $q->header(-type  =>  'text/html',
4290                    -cost  =>  'Three smackers',
4291                    -annoyance_level => 'high',
4292                    -complaints_to   => 'bit bucket');
4293
4294 This will produce the following nonstandard HTTP header:
4295
4296    HTTP/1.0 200 OK
4297    Cost: Three smackers
4298    Annoyance-level: high
4299    Complaints-to: bit bucket
4300    Content-type: text/html
4301
4302 Notice the way that underscores are translated automatically into
4303 hyphens.  HTML-generating routines perform a different type of
4304 translation. 
4305
4306 This feature allows you to keep up with the rapidly changing HTTP and
4307 HTML "standards".
4308
4309 =head2 CREATING A NEW QUERY OBJECT (OBJECT-ORIENTED STYLE):
4310
4311      $query = new CGI;
4312
4313 This will parse the input (from both POST and GET methods) and store
4314 it into a perl5 object called $query. 
4315
4316 Any filehandles from file uploads will have their position reset to 
4317 the beginning of the file. 
4318
4319 =head2 CREATING A NEW QUERY OBJECT FROM AN INPUT FILE
4320
4321      $query = new CGI(INPUTFILE);
4322
4323 If you provide a file handle to the new() method, it will read
4324 parameters from the file (or STDIN, or whatever).  The file can be in
4325 any of the forms describing below under debugging (i.e. a series of
4326 newline delimited TAG=VALUE pairs will work).  Conveniently, this type
4327 of file is created by the save() method (see below).  Multiple records
4328 can be saved and restored.
4329
4330 Perl purists will be pleased to know that this syntax accepts
4331 references to file handles, or even references to filehandle globs,
4332 which is the "official" way to pass a filehandle:
4333
4334     $query = new CGI(\*STDIN);
4335
4336 You can also initialize the CGI object with a FileHandle or IO::File
4337 object.
4338
4339 If you are using the function-oriented interface and want to
4340 initialize CGI state from a file handle, the way to do this is with
4341 B<restore_parameters()>.  This will (re)initialize the
4342 default CGI object from the indicated file handle.
4343
4344     open (IN,"test.in") || die;
4345     restore_parameters(IN);
4346     close IN;
4347
4348 You can also initialize the query object from an associative array
4349 reference:
4350
4351     $query = new CGI( {'dinosaur'=>'barney',
4352                        'song'=>'I love you',
4353                        'friends'=>[qw/Jessica George Nancy/]}
4354                     );
4355
4356 or from a properly formatted, URL-escaped query string:
4357
4358     $query = new CGI('dinosaur=barney&color=purple');
4359
4360 or from a previously existing CGI object (currently this clones the
4361 parameter list, but none of the other object-specific fields, such as
4362 autoescaping):
4363
4364     $old_query = new CGI;
4365     $new_query = new CGI($old_query);
4366
4367 To create an empty query, initialize it from an empty string or hash:
4368
4369    $empty_query = new CGI("");
4370
4371        -or-
4372
4373    $empty_query = new CGI({});
4374
4375 =head2 FETCHING A LIST OF KEYWORDS FROM THE QUERY:
4376
4377      @keywords = $query->keywords
4378
4379 If the script was invoked as the result of an <ISINDEX> search, the
4380 parsed keywords can be obtained as an array using the keywords() method.
4381
4382 =head2 FETCHING THE NAMES OF ALL THE PARAMETERS PASSED TO YOUR SCRIPT:
4383
4384      @names = $query->param
4385
4386 If the script was invoked with a parameter list
4387 (e.g. "name1=value1&name2=value2&name3=value3"), the param() method
4388 will return the parameter names as a list.  If the script was invoked
4389 as an <ISINDEX> script and contains a string without ampersands
4390 (e.g. "value1+value2+value3") , there will be a single parameter named
4391 "keywords" containing the "+"-delimited keywords.
4392
4393 NOTE: As of version 1.5, the array of parameter names returned will
4394 be in the same order as they were submitted by the browser.
4395 Usually this order is the same as the order in which the 
4396 parameters are defined in the form (however, this isn't part
4397 of the spec, and so isn't guaranteed).
4398
4399 =head2 FETCHING THE VALUE OR VALUES OF A SINGLE NAMED PARAMETER:
4400
4401     @values = $query->param('foo');
4402
4403               -or-
4404
4405     $value = $query->param('foo');
4406
4407 Pass the param() method a single argument to fetch the value of the
4408 named parameter. If the parameter is multivalued (e.g. from multiple
4409 selections in a scrolling list), you can ask to receive an array.  Otherwise
4410 the method will return a single value.
4411
4412 If a value is not given in the query string, as in the queries
4413 "name1=&name2=" or "name1&name2", it will be returned as an empty
4414 string.  This feature is new in 2.63.
4415
4416
4417 If the parameter does not exist at all, then param() will return undef
4418 in a scalar context, and the empty list in a list context.
4419
4420
4421 =head2 SETTING THE VALUE(S) OF A NAMED PARAMETER:
4422
4423     $query->param('foo','an','array','of','values');
4424
4425 This sets the value for the named parameter 'foo' to an array of
4426 values.  This is one way to change the value of a field AFTER
4427 the script has been invoked once before.  (Another way is with
4428 the -override parameter accepted by all methods that generate
4429 form elements.)
4430
4431 param() also recognizes a named parameter style of calling described
4432 in more detail later:
4433
4434     $query->param(-name=>'foo',-values=>['an','array','of','values']);
4435
4436                               -or-
4437
4438     $query->param(-name=>'foo',-value=>'the value');
4439
4440 =head2 APPENDING ADDITIONAL VALUES TO A NAMED PARAMETER:
4441
4442    $query->append(-name=>'foo',-values=>['yet','more','values']);
4443
4444 This adds a value or list of values to the named parameter.  The
4445 values are appended to the end of the parameter if it already exists.
4446 Otherwise the parameter is created.  Note that this method only
4447 recognizes the named argument calling syntax.
4448
4449 =head2 IMPORTING ALL PARAMETERS INTO A NAMESPACE:
4450
4451    $query->import_names('R');
4452
4453 This creates a series of variables in the 'R' namespace.  For example,
4454 $R::foo, @R:foo.  For keyword lists, a variable @R::keywords will appear.
4455 If no namespace is given, this method will assume 'Q'.
4456 WARNING:  don't import anything into 'main'; this is a major security
4457 risk!!!!
4458
4459 NOTE 1: Variable names are transformed as necessary into legal Perl
4460 variable names.  All non-legal characters are transformed into
4461 underscores.  If you need to keep the original names, you should use
4462 the param() method instead to access CGI variables by name.
4463
4464 NOTE 2: In older versions, this method was called B<import()>.  As of version 2.20, 
4465 this name has been removed completely to avoid conflict with the built-in
4466 Perl module B<import> operator.
4467
4468 =head2 DELETING A PARAMETER COMPLETELY:
4469
4470     $query->delete('foo','bar','baz');
4471
4472 This completely clears a list of parameters.  It sometimes useful for
4473 resetting parameters that you don't want passed down between script
4474 invocations.
4475
4476 If you are using the function call interface, use "Delete()" instead
4477 to avoid conflicts with Perl's built-in delete operator.
4478
4479 =head2 DELETING ALL PARAMETERS:
4480
4481    $query->delete_all();
4482
4483 This clears the CGI object completely.  It might be useful to ensure
4484 that all the defaults are taken when you create a fill-out form.
4485
4486 Use Delete_all() instead if you are using the function call interface.
4487
4488 =head2 HANDLING NON-URLENCODED ARGUMENTS
4489
4490
4491 If POSTed data is not of type application/x-www-form-urlencoded or
4492 multipart/form-data, then the POSTed data will not be processed, but
4493 instead be returned as-is in a parameter named POSTDATA.  To retrieve
4494 it, use code like this:
4495
4496    my $data = $query->param('POSTDATA');
4497
4498 Likewise if PUTed data can be retrieved with code like this:
4499
4500    my $data = $query->param('PUTDATA');
4501
4502 (If you don't know what the preceding means, don't worry about it.  It
4503 only affects people trying to use CGI for XML processing and other
4504 specialized tasks.)
4505
4506
4507 =head2 DIRECT ACCESS TO THE PARAMETER LIST:
4508
4509    $q->param_fetch('address')->[1] = '1313 Mockingbird Lane';
4510    unshift @{$q->param_fetch(-name=>'address')},'George Munster';
4511
4512 If you need access to the parameter list in a way that isn't covered
4513 by the methods above, you can obtain a direct reference to it by
4514 calling the B<param_fetch()> method with the name of the .  This
4515 will return an array reference to the named parameters, which you then
4516 can manipulate in any way you like.
4517
4518 You can also use a named argument style using the B<-name> argument.
4519
4520 =head2 FETCHING THE PARAMETER LIST AS A HASH:
4521
4522     $params = $q->Vars;
4523     print $params->{'address'};
4524     @foo = split("\0",$params->{'foo'});
4525     %params = $q->Vars;
4526
4527     use CGI ':cgi-lib';
4528     $params = Vars;
4529
4530 Many people want to fetch the entire parameter list as a hash in which
4531 the keys are the names of the CGI parameters, and the values are the
4532 parameters' values.  The Vars() method does this.  Called in a scalar
4533 context, it returns the parameter list as a tied hash reference.
4534 Changing a key changes the value of the parameter in the underlying
4535 CGI parameter list.  Called in a list context, it returns the
4536 parameter list as an ordinary hash.  This allows you to read the
4537 contents of the parameter list, but not to change it.
4538
4539 When using this, the thing you must watch out for are multivalued CGI
4540 parameters.  Because a hash cannot distinguish between scalar and
4541 list context, multivalued parameters will be returned as a packed
4542 string, separated by the "\0" (null) character.  You must split this
4543 packed string in order to get at the individual values.  This is the
4544 convention introduced long ago by Steve Brenner in his cgi-lib.pl
4545 module for Perl version 4.
4546
4547 If you wish to use Vars() as a function, import the I<:cgi-lib> set of
4548 function calls (also see the section on CGI-LIB compatibility).
4549
4550 =head2 SAVING THE STATE OF THE SCRIPT TO A FILE:
4551
4552     $query->save(\*FILEHANDLE)
4553
4554 This will write the current state of the form to the provided
4555 filehandle.  You can read it back in by providing a filehandle
4556 to the new() method.  Note that the filehandle can be a file, a pipe,
4557 or whatever!
4558
4559 The format of the saved file is:
4560
4561         NAME1=VALUE1
4562         NAME1=VALUE1'
4563         NAME2=VALUE2
4564         NAME3=VALUE3
4565         =
4566
4567 Both name and value are URL escaped.  Multi-valued CGI parameters are
4568 represented as repeated names.  A session record is delimited by a
4569 single = symbol.  You can write out multiple records and read them
4570 back in with several calls to B<new>.  You can do this across several
4571 sessions by opening the file in append mode, allowing you to create
4572 primitive guest books, or to keep a history of users' queries.  Here's
4573 a short example of creating multiple session records:
4574
4575    use CGI;
4576
4577    open (OUT,">>test.out") || die;
4578    $records = 5;
4579    foreach (0..$records) {
4580        my $q = new CGI;
4581        $q->param(-name=>'counter',-value=>$_);
4582        $q->save(\*OUT);
4583    }
4584    close OUT;
4585
4586    # reopen for reading
4587    open (IN,"test.out") || die;
4588    while (!eof(IN)) {
4589        my $q = new CGI(\*IN);
4590        print $q->param('counter'),"\n";
4591    }
4592
4593 The file format used for save/restore is identical to that used by the
4594 Whitehead Genome Center's data exchange format "Boulderio", and can be
4595 manipulated and even databased using Boulderio utilities.  See
4596
4597   http://stein.cshl.org/boulder/
4598
4599 for further details.
4600
4601 If you wish to use this method from the function-oriented (non-OO)
4602 interface, the exported name for this method is B<save_parameters()>.
4603
4604 =head2 RETRIEVING CGI ERRORS
4605
4606 Errors can occur while processing user input, particularly when
4607 processing uploaded files.  When these errors occur, CGI will stop
4608 processing and return an empty parameter list.  You can test for
4609 the existence and nature of errors using the I<cgi_error()> function.
4610 The error messages are formatted as HTTP status codes. You can either
4611 incorporate the error text into an HTML page, or use it as the value
4612 of the HTTP status:
4613
4614     my $error = $q->cgi_error;
4615     if ($error) {
4616         print $q->header(-status=>$error),
4617               $q->start_html('Problems'),
4618               $q->h2('Request not processed'),
4619               $q->strong($error);
4620         exit 0;
4621     }
4622
4623 When using the function-oriented interface (see the next section),
4624 errors may only occur the first time you call I<param()>. Be ready
4625 for this!
4626
4627 =head2 USING THE FUNCTION-ORIENTED INTERFACE
4628
4629 To use the function-oriented interface, you must specify which CGI.pm
4630 routines or sets of routines to import into your script's namespace.
4631 There is a small overhead associated with this importation, but it
4632 isn't much.
4633
4634    use CGI <list of methods>;
4635
4636 The listed methods will be imported into the current package; you can
4637 call them directly without creating a CGI object first.  This example
4638 shows how to import the B<param()> and B<header()>
4639 methods, and then use them directly:
4640
4641    use CGI 'param','header';
4642    print header('text/plain');
4643    $zipcode = param('zipcode');
4644
4645 More frequently, you'll import common sets of functions by referring
4646 to the groups by name.  All function sets are preceded with a ":"
4647 character as in ":html3" (for tags defined in the HTML 3 standard).
4648
4649 Here is a list of the function sets you can import:
4650
4651 =over 4
4652
4653 =item B<:cgi>
4654
4655 Import all CGI-handling methods, such as B<param()>, B<path_info()>
4656 and the like.
4657
4658 =item B<:form>
4659
4660 Import all fill-out form generating methods, such as B<textfield()>.
4661
4662 =item B<:html2>
4663
4664 Import all methods that generate HTML 2.0 standard elements.
4665
4666 =item B<:html3>
4667
4668 Import all methods that generate HTML 3.0 elements (such as
4669 <table>, <super> and <sub>).
4670
4671 =item B<:html4>
4672
4673 Import all methods that generate HTML 4 elements (such as
4674 <abbrev>, <acronym> and <thead>).
4675
4676 =item B<:netscape>
4677
4678 Import all methods that generate Netscape-specific HTML extensions.
4679
4680 =item B<:html>
4681
4682 Import all HTML-generating shortcuts (i.e. 'html2' + 'html3' +
4683 'netscape')...
4684
4685 =item B<:standard>
4686
4687 Import "standard" features, 'html2', 'html3', 'html4', 'form' and 'cgi'.
4688
4689 =item B<:all>
4690
4691 Import all the available methods.  For the full list, see the CGI.pm
4692 code, where the variable %EXPORT_TAGS is defined.
4693
4694 =back
4695
4696 If you import a function name that is not part of CGI.pm, the module
4697 will treat it as a new HTML tag and generate the appropriate
4698 subroutine.  You can then use it like any other HTML tag.  This is to
4699 provide for the rapidly-evolving HTML "standard."  For example, say
4700 Microsoft comes out with a new tag called <gradient> (which causes the
4701 user's desktop to be flooded with a rotating gradient fill until his
4702 machine reboots).  You don't need to wait for a new version of CGI.pm
4703 to start using it immediately:
4704
4705    use CGI qw/:standard :html3 gradient/;
4706    print gradient({-start=>'red',-end=>'blue'});
4707
4708 Note that in the interests of execution speed CGI.pm does B<not> use
4709 the standard L<Exporter> syntax for specifying load symbols.  This may
4710 change in the future.
4711
4712 If you import any of the state-maintaining CGI or form-generating
4713 methods, a default CGI object will be created and initialized
4714 automatically the first time you use any of the methods that require
4715 one to be present.  This includes B<param()>, B<textfield()>,
4716 B<submit()> and the like.  (If you need direct access to the CGI
4717 object, you can find it in the global variable B<$CGI::Q>).  By
4718 importing CGI.pm methods, you can create visually elegant scripts:
4719
4720    use CGI qw/:standard/;
4721    print 
4722        header,
4723        start_html('Simple Script'),
4724        h1('Simple Script'),
4725        start_form,
4726        "What's your name? ",textfield('name'),p,
4727        "What's the combination?",
4728        checkbox_group(-name=>'words',
4729                       -values=>['eenie','meenie','minie','moe'],
4730                       -defaults=>['eenie','moe']),p,
4731        "What's your favorite color?",
4732        popup_menu(-name=>'color',
4733                   -values=>['red','green','blue','chartreuse']),p,
4734        submit,
4735        end_form,
4736        hr,"\n";
4737
4738     if (param) {
4739        print 
4740            "Your name is ",em(param('name')),p,
4741            "The keywords are: ",em(join(", ",param('words'))),p,
4742            "Your favorite color is ",em(param('color')),".\n";
4743     }
4744     print end_html;
4745
4746 =head2 PRAGMAS
4747
4748 In addition to the function sets, there are a number of pragmas that
4749 you can import.  Pragmas, which are always preceded by a hyphen,
4750 change the way that CGI.pm functions in various ways.  Pragmas,
4751 function sets, and individual functions can all be imported in the
4752 same use() line.  For example, the following use statement imports the
4753 standard set of functions and enables debugging mode (pragma
4754 -debug):
4755
4756    use CGI qw/:standard -debug/;
4757
4758 The current list of pragmas is as follows:
4759
4760 =over 4
4761
4762 =item -any
4763
4764 When you I<use CGI -any>, then any method that the query object
4765 doesn't recognize will be interpreted as a new HTML tag.  This allows
4766 you to support the next I<ad hoc> Netscape or Microsoft HTML
4767 extension.  This lets you go wild with new and unsupported tags:
4768
4769    use CGI qw(-any);
4770    $q=new CGI;
4771    print $q->gradient({speed=>'fast',start=>'red',end=>'blue'});
4772
4773 Since using <cite>any</cite> causes any mistyped method name
4774 to be interpreted as an HTML tag, use it with care or not at
4775 all.
4776
4777 =item -compile
4778
4779 This causes the indicated autoloaded methods to be compiled up front,
4780 rather than deferred to later.  This is useful for scripts that run
4781 for an extended period of time under FastCGI or mod_perl, and for
4782 those destined to be crunched by Malcolm Beattie's Perl compiler.  Use
4783 it in conjunction with the methods or method families you plan to use.
4784
4785    use CGI qw(-compile :standard :html3);
4786
4787 or even
4788
4789    use CGI qw(-compile :all);
4790
4791 Note that using the -compile pragma in this way will always have
4792 the effect of importing the compiled functions into the current
4793 namespace.  If you want to compile without importing use the
4794 compile() method instead:
4795
4796    use CGI();
4797    CGI->compile();
4798
4799 This is particularly useful in a mod_perl environment, in which you
4800 might want to precompile all CGI routines in a startup script, and
4801 then import the functions individually in each mod_perl script.
4802
4803 =item -nosticky
4804
4805 By default the CGI module implements a state-preserving behavior
4806 called "sticky" fields.  The way this works is that if you are
4807 regenerating a form, the methods that generate the form field values
4808 will interrogate param() to see if similarly-named parameters are
4809 present in the query string. If they find a like-named parameter, they
4810 will use it to set their default values.
4811
4812 Sometimes this isn't what you want.  The B<-nosticky> pragma prevents
4813 this behavior.  You can also selectively change the sticky behavior in
4814 each element that you generate.
4815
4816 =item -tabindex
4817
4818 Automatically add tab index attributes to each form field. With this
4819 option turned off, you can still add tab indexes manually by passing a
4820 -tabindex option to each field-generating method.
4821
4822 =item -no_undef_params
4823
4824 This keeps CGI.pm from including undef params in the parameter list.
4825
4826 =item -no_xhtml
4827
4828 By default, CGI.pm versions 2.69 and higher emit XHTML
4829 (http://www.w3.org/TR/xhtml1/).  The -no_xhtml pragma disables this
4830 feature.  Thanks to Michalis Kabrianis <kabrianis@hellug.gr> for this
4831 feature.
4832
4833 If start_html()'s -dtd parameter specifies an HTML 2.0 or 3.2 DTD, 
4834 XHTML will automatically be disabled without needing to use this 
4835 pragma.
4836
4837 =item -utf8
4838
4839 This makes CGI.pm treat all parameters as UTF-8 strings. Use this with
4840 care, as it will interfere with the processing of binary uploads. It
4841 is better to manually select which fields are expected to return utf-8
4842 strings and convert them using code like this:
4843
4844  use Encode;
4845  my $arg = decode utf8=>param('foo');
4846
4847 =item -nph
4848
4849 This makes CGI.pm produce a header appropriate for an NPH (no
4850 parsed header) script.  You may need to do other things as well
4851 to tell the server that the script is NPH.  See the discussion
4852 of NPH scripts below.
4853
4854 =item -newstyle_urls
4855
4856 Separate the name=value pairs in CGI parameter query strings with
4857 semicolons rather than ampersands.  For example:
4858
4859    ?name=fred;age=24;favorite_color=3
4860
4861 Semicolon-delimited query strings are always accepted, but will not be
4862 emitted by self_url() and query_string() unless the -newstyle_urls
4863 pragma is specified.
4864
4865 This became the default in version 2.64.
4866
4867 =item -oldstyle_urls
4868
4869 Separate the name=value pairs in CGI parameter query strings with
4870 ampersands rather than semicolons.  This is no longer the default.
4871
4872 =item -autoload
4873
4874 This overrides the autoloader so that any function in your program
4875 that is not recognized is referred to CGI.pm for possible evaluation.
4876 This allows you to use all the CGI.pm functions without adding them to
4877 your symbol table, which is of concern for mod_perl users who are
4878 worried about memory consumption.  I<Warning:> when
4879 I<-autoload> is in effect, you cannot use "poetry mode"
4880 (functions without the parenthesis).  Use I<hr()> rather
4881 than I<hr>, or add something like I<use subs qw/hr p header/> 
4882 to the top of your script.
4883
4884 =item -no_debug
4885
4886 This turns off the command-line processing features.  If you want to
4887 run a CGI.pm script from the command line to produce HTML, and you
4888 don't want it to read CGI parameters from the command line or STDIN,
4889 then use this pragma:
4890
4891    use CGI qw(-no_debug :standard);
4892
4893 =item -debug
4894
4895 This turns on full debugging.  In addition to reading CGI arguments
4896 from the command-line processing, CGI.pm will pause and try to read
4897 arguments from STDIN, producing the message "(offline mode: enter
4898 name=value pairs on standard input)" features.
4899
4900 See the section on debugging for more details.
4901
4902 =item -private_tempfiles
4903
4904 CGI.pm can process uploaded file. Ordinarily it spools the uploaded
4905 file to a temporary directory, then deletes the file when done.
4906 However, this opens the risk of eavesdropping as described in the file
4907 upload section.  Another CGI script author could peek at this data
4908 during the upload, even if it is confidential information. On Unix
4909 systems, the -private_tempfiles pragma will cause the temporary file
4910 to be unlinked as soon as it is opened and before any data is written
4911 into it, reducing, but not eliminating the risk of eavesdropping
4912 (there is still a potential race condition).  To make life harder for
4913 the attacker, the program chooses tempfile names by calculating a 32
4914 bit checksum of the incoming HTTP headers.
4915
4916 To ensure that the temporary file cannot be read by other CGI scripts,
4917 use suEXEC or a CGI wrapper program to run your script.  The temporary
4918 file is created with mode 0600 (neither world nor group readable).
4919
4920 The temporary directory is selected using the following algorithm:
4921
4922     1. if the current user (e.g. "nobody") has a directory named
4923     "tmp" in its home directory, use that (Unix systems only).
4924
4925     2. if the environment variable TMPDIR exists, use the location
4926     indicated.
4927
4928     3. Otherwise try the locations /usr/tmp, /var/tmp, C:\temp,
4929     /tmp, /temp, ::Temporary Items, and \WWW_ROOT.
4930
4931 Each of these locations is checked that it is a directory and is
4932 writable.  If not, the algorithm tries the next choice.
4933
4934 =back
4935
4936 =head2 SPECIAL FORMS FOR IMPORTING HTML-TAG FUNCTIONS
4937
4938 Many of the methods generate HTML tags.  As described below, tag
4939 functions automatically generate both the opening and closing tags.
4940 For example:
4941
4942   print h1('Level 1 Header');
4943
4944 produces
4945
4946   <h1>Level 1 Header</h1>
4947
4948 There will be some times when you want to produce the start and end
4949 tags yourself.  In this case, you can use the form start_I<tag_name>
4950 and end_I<tag_name>, as in:
4951
4952   print start_h1,'Level 1 Header',end_h1;
4953
4954 With a few exceptions (described below), start_I<tag_name> and
4955 end_I<tag_name> functions are not generated automatically when you
4956 I<use CGI>.  However, you can specify the tags you want to generate
4957 I<start/end> functions for by putting an asterisk in front of their
4958 name, or, alternatively, requesting either "start_I<tag_name>" or
4959 "end_I<tag_name>" in the import list.
4960
4961 Example:
4962