tests/include/SerializeEvilTest.php

   1 <?php
   2 /*********************************************************************************
   3  * SugarCRM Community Edition is a customer relationship management program developed by
   4  * SugarCRM, Inc. Copyright (C) 2004-2012 SugarCRM Inc.
   5  *
   6  * This program is free software; you can redistribute it and/or modify it under
   7  * the terms of the GNU Affero General Public License version 3 as published by the
   8  * Free Software Foundation with the addition of the following permission added
   9  * to Section 15 as permitted in Section 7(a): FOR ANY PART OF THE COVERED WORK
  10  * IN WHICH THE COPYRIGHT IS OWNED BY SUGARCRM, SUGARCRM DISCLAIMS THE WARRANTY
  11  * OF NON INFRINGEMENT OF THIRD PARTY RIGHTS.
  12  *
  13  * This program is distributed in the hope that it will be useful, but WITHOUT
  14  * ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS
  15  * FOR A PARTICULAR PURPOSE.  See the GNU Affero General Public License for more
  16  * details.
  17  *
  18  * You should have received a copy of the GNU Affero General Public License along with
  19  * this program; if not, see http://www.gnu.org/licenses or write to the Free
  20  * Software Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA
  21  * 02110-1301 USA.
  22  *
  23  * You can contact SugarCRM, Inc. headquarters at 10050 North Wolfe Road,
  24  * SW2-130, Cupertino, CA 95014, USA. or at email address contact@sugarcrm.com.
  25  *
  26  * The interactive user interfaces in modified source and object code versions
  27  * of this program must display Appropriate Legal Notices, as required under
  28  * Section 5 of the GNU Affero General Public License version 3.
  29  *
  30  * In accordance with Section 7(b) of the GNU Affero General Public License version 3,
  31  * these Appropriate Legal Notices must retain the display of the "Powered by
  32  * SugarCRM" logo. If the display of the logo is not reasonably feasible for
  33  * technical reasons, the Appropriate Legal Notices must display the words
  34  * "Powered by SugarCRM".
  35  ********************************************************************************/
  36
  37
  38 require_once 'include/tcpdf/tcpdf.php';
  39 require_once 'include/SugarCache/SugarCacheFile.php';
  40 require_once 'modules/Import/sources/ImportFile.php';
  41 require_once 'Zend/Http/Response.php';
  42
  43 class SerializeEvilTest extends Sugar_PHPUnit_Framework_TestCase
  44 {
  45
  46     public function testSugarCacheFile()
  47     {
  48         if(file_exists(sugar_cached("testevil.php"))) @unlink(sugar_cached("testevil.php"));
  49         $obj = 'test';
  50         try {
  51             $obj = unserialize('O:14:"SugarCacheFile":3:{s:13:"_cacheChanged";b:1;s:14:"_cacheFileName";s:12:"testevil.php";s:11:"_localStore";b:1;}');
  52         } catch(Exception $e) {
  53             $obj = null;
  54         }
  55         $this->assertNull($obj);
  56         unset($obj); // call dtor if object created
  57         $this->assertFileNotExists(sugar_cached("testevil.php"));
  58     }
  59
  60     public function getDestructors()
  61     {
  62         return array(
  63             array("SugarCacheFile"),
  64             array("SugarTheme"),
  65             array("tcpdf"),
  66             array("ImportFile"),
  67             array("Zend_Http_Response_Stream"),
  68         );
  69     }
  70
  71     /**
  72      * @dataProvider getDestructors
  73      *
  74      */
  75     public function testUnserializeExcept($name)
  76     {
  77         $len = strlen($name);
  78         $obj = 'test';
  79         try {
  80             $obj = unserialize("O:$len:\"$name\":1:{s:4:\"test\";b:1;}");
  81         } catch(Exception $e) {
  82              $obj = null;
  83         }
  84         $this->assertEmpty($obj);
  85     }
  86 }