projects / framework / uifw / harfbuzz.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Watch for overflow in Array sanitize
[framework/uifw/harfbuzz.git] / src / hb-open-type-private.hh
1 /*
2  * Copyright (C) 2007,2008,2009,2010  Red Hat, Inc.
3  *
4  *  This is part of HarfBuzz, a text shaping library.
5  *
6  * Permission is hereby granted, without written agreement and without
7  * license or royalty fees, to use, copy, modify, and distribute this
8  * software and its documentation for any purpose, provided that the
9  * above copyright notice and the following two paragraphs appear in
10  * all copies of this software.
11  *
12  * IN NO EVENT SHALL THE COPYRIGHT HOLDER BE LIABLE TO ANY PARTY FOR
13  * DIRECT, INDIRECT, SPECIAL, INCIDENTAL, OR CONSEQUENTIAL DAMAGES
14  * ARISING OUT OF THE USE OF THIS SOFTWARE AND ITS DOCUMENTATION, EVEN
15  * IF THE COPYRIGHT HOLDER HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH
16  * DAMAGE.
17  *
18  * THE COPYRIGHT HOLDER SPECIFICALLY DISCLAIMS ANY WARRANTIES, INCLUDING,
19  * BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND
20  * FITNESS FOR A PARTICULAR PURPOSE.  THE SOFTWARE PROVIDED HEREUNDER IS
21  * ON AN "AS IS" BASIS, AND THE COPYRIGHT HOLDER HAS NO OBLIGATION TO
22  * PROVIDE MAINTENANCE, SUPPORT, UPDATES, ENHANCEMENTS, OR MODIFICATIONS.
23  *
24  * Red Hat Author(s): Behdad Esfahbod
25  */
26
27 #ifndef HB_OPEN_TYPES_PRIVATE_HH
28 #define HB_OPEN_TYPES_PRIVATE_HH
29
30 #include "hb-private.h"
31
32 #include "hb-blob.h"
33
34
35 /* Table/script/language-system/feature/... not found */
36 #define NO_INDEX                ((unsigned int) 0xFFFF)
37
38
39 /*
40  * Casts
41  */
42
43 /* Cast to "const char *" and "char *" */
44 template <typename Type> inline const char * CharP (const Type* X) { return reinterpret_cast<const char *>(X); }
45 template <typename Type> inline char * CharP (Type* X) { return reinterpret_cast<char *>(X); }
46
47 #define CONST_CAST(T,X,Ofs)     (*(reinterpret_cast<const T *>(CharP(&(X)) + Ofs)))
48 #define DECONST_CAST(T,X,Ofs)   (*(reinterpret_cast<T *>((char *)CharP(&(X)) + Ofs)))
49 #define CAST(T,X,Ofs)           (*(reinterpret_cast<T *>(CharP(&(X)) + Ofs)))
50
51
52 /* StructAfter<T>(X) returns the struct T& that is placed after X.
53  * Works with X of variable size also.  X must implement get_size() */
54 template<typename Type, typename TObject>
55 inline const Type& StructAfter(const TObject &X)
56 {
57   return * reinterpret_cast<const Type*> (CharP (&X) + X.get_size());
58 }
59 template<typename Type, typename TObject>
60 inline Type& StructAfter(TObject &X)
61 {
62   return * reinterpret_cast<Type*> (CharP (&X) + X.get_size());
63 }
64
65
66 /*
67  * Class features
68  */
69
70
71 /* Null objects */
72
73 /* Global nul-content Null pool.  Enlarge as necessary. */
74 static const void *_NullPool[32 / sizeof (void *)];
75
76 /* Generic template for nul-content sizeof-sized Null objects. */
77 template <typename Type>
78 static inline const Type& Null () {
79   ASSERT_STATIC (sizeof (Type) <= sizeof (_NullPool));
80   return CONST_CAST (Type, *_NullPool, 0);
81 }
82
83 /* Specializaiton for arbitrary-content arbitrary-sized Null objects. */
84 #define DEFINE_NULL_DATA(Type, size, data) \
85 static const char _Null##Type[size + 1] = data; \
86 template <> \
87 inline const Type& Null<Type> () { \
88   return CONST_CAST (Type, *_Null##Type, 0); \
89 }
90
91 /* Accessor macro. */
92 #define Null(Type) Null<Type>()
93
94
95 /* get_for_data() is a static class method returning a reference to an
96  * instance of Type located at the input data location.  It's just a
97  * fancy, NULL-safe, cast! */
98 #define STATIC_DEFINE_GET_FOR_DATA(Type) \
99   static inline const Type& get_for_data (const char *data) \
100   { \
101     if (HB_UNLIKELY (data == NULL)) return Null(Type); \
102     return CONST_CAST (Type, *data, 0); \
103   }
104 /* Like get_for_data(), but checks major version first. */
105 #define STATIC_DEFINE_GET_FOR_DATA_CHECK_MAJOR_VERSION(Type, MajorMin, MajorMax) \
106   static inline const Type& get_for_data (const char *data) \
107   { \
108     if (HB_UNLIKELY (data == NULL)) return Null(Type); \
109     const Type& t = CONST_CAST (Type, *data, 0); \
110     if (HB_UNLIKELY (t.version.major < MajorMin || t.version.major > MajorMax)) return Null(Type); \
111     return t; \
112   }
113
114
115 /*
116  * Sanitize
117  */
118
119 #ifndef HB_DEBUG_SANITIZE
120 #define HB_DEBUG_SANITIZE HB_DEBUG
121 #endif
122
123 #if HB_DEBUG_SANITIZE
124 #include <stdio.h>
125 #define TRACE_SANITIZE_ARG_DEF  , unsigned int sanitize_depth HB_GNUC_UNUSED
126 #define TRACE_SANITIZE_ARG      , sanitize_depth + 1
127 #define TRACE_SANITIZE_ARG_INIT , 1
128 #define TRACE_SANITIZE() \
129         HB_STMT_START { \
130             if (sanitize_depth < HB_DEBUG_SANITIZE) \
131                 fprintf (stderr, "SANITIZE(%p) %-*d-> %s\n", \
132                          (CharP (this) == CharP (&NullPool)) ? 0 : this, \
133                          sanitize_depth, sanitize_depth, \
134                          __PRETTY_FUNCTION__); \
135         } HB_STMT_END
136 #else
137 #define TRACE_SANITIZE_ARG_DEF
138 #define TRACE_SANITIZE_ARG
139 #define TRACE_SANITIZE_ARG_INIT
140 #define TRACE_SANITIZE() HB_STMT_START {} HB_STMT_END
141 #endif
142
143 #define SANITIZE_ARG_DEF \
144         hb_sanitize_context_t *context TRACE_SANITIZE_ARG_DEF
145 #define SANITIZE_ARG \
146         context TRACE_SANITIZE_ARG
147 #define SANITIZE_ARG_INIT \
148         &context TRACE_SANITIZE_ARG_INIT
149
150 typedef struct _hb_sanitize_context_t hb_sanitize_context_t;
151 struct _hb_sanitize_context_t
152 {
153   const char *start, *end;
154   int edit_count;
155   hb_blob_t *blob;
156 };
157
158 static HB_GNUC_UNUSED void
159 _hb_sanitize_init (hb_sanitize_context_t *context,
160                    hb_blob_t *blob)
161 {
162   context->blob = blob;
163   context->start = hb_blob_lock (blob);
164   context->end = context->start + hb_blob_get_length (blob);
165   context->edit_count = 0;
166
167 #if HB_DEBUG_SANITIZE
168   fprintf (stderr, "sanitize %p init [%p..%p] (%u bytes)\n",
169            context->blob, context->start, context->end, context->end - context->start);
170 #endif
171 }
172
173 static HB_GNUC_UNUSED void
174 _hb_sanitize_fini (hb_sanitize_context_t *context,
175                    bool unlock)
176 {
177 #if HB_DEBUG_SANITIZE
178   fprintf (stderr, "sanitize %p fini [%p..%p] %u edit requests\n",
179            context->blob, context->start, context->end, context->edit_count);
180 #endif
181
182   if (unlock)
183     hb_blob_unlock (context->blob);
184 }
185
186 static HB_GNUC_UNUSED inline bool
187 _hb_sanitize_check (SANITIZE_ARG_DEF,
188                     const char *base,
189                     unsigned int len)
190 {
191   bool ret = context->start <= base &&
192              base <= context->end &&
193              (unsigned int) (context->end - base) >= len;
194
195 #if HB_DEBUG_SANITIZE
196   if (sanitize_depth < HB_DEBUG_SANITIZE) \
197     fprintf (stderr, "SANITIZE(%p) %-*d-> check [%p..%p] (%d bytes) in [%p..%p] -> %s\n", \
198              base,
199              sanitize_depth, sanitize_depth,
200              base, base+len, len,
201              context->start, context->end,
202              ret ? "pass" : "FAIL");
203 #endif
204   return ret;
205 }
206
207 static HB_GNUC_UNUSED inline bool
208 _hb_sanitize_array (SANITIZE_ARG_DEF,
209                     const char *base,
210                     unsigned int record_size,
211                     unsigned int len)
212 {
213   bool overflows = len >= ((unsigned int) -1) / record_size;
214
215 #if HB_DEBUG_SANITIZE
216   if (sanitize_depth < HB_DEBUG_SANITIZE) \
217     fprintf (stderr, "SANITIZE(%p) %-*d-> array [%p..%p] (%d*%d=%ld bytes) in [%p..%p] -> %s\n", \
218              base,
219              sanitize_depth, sanitize_depth,
220              base, base + (record_size * len), record_size, len, (unsigned long) record_size * len,
221              context->start, context->end,
222              !overflows ? "does not overflow" : "OVERFLOWS FAIL");
223 #endif
224   return HB_LIKELY (!overflows) && _hb_sanitize_check (SANITIZE_ARG, base, record_size * len);
225 }
226
227 static HB_GNUC_UNUSED inline bool
228 _hb_sanitize_edit (SANITIZE_ARG_DEF,
229                    const char *base HB_GNUC_UNUSED,
230                    unsigned int len HB_GNUC_UNUSED)
231 {
232   bool perm = hb_blob_try_writable_inplace (context->blob);
233   context->edit_count++;
234
235 #if HB_DEBUG_SANITIZE
236   fprintf (stderr, "SANITIZE(%p) %-*d-> edit(%u) [%p..%p] (%d bytes) in [%p..%p] -> %s\n", \
237            base,
238            sanitize_depth, sanitize_depth,
239            context->edit_count,
240            base, base+len, len,
241            context->start, context->end,
242            perm ? "granted" : "REJECTED");
243 #endif
244   return perm;
245 }
246
247 #define SANITIZE(X) HB_LIKELY ((X).sanitize (SANITIZE_ARG))
248 #define SANITIZE2(X,Y) (SANITIZE (X) && SANITIZE (Y))
249
250 #define SANITIZE_THIS(X) HB_LIKELY ((X).sanitize (SANITIZE_ARG, CharP(this)))
251 #define SANITIZE_THIS2(X,Y) (SANITIZE_THIS (X) && SANITIZE_THIS (Y))
252 #define SANITIZE_THIS3(X,Y,Z) (SANITIZE_THIS (X) && SANITIZE_THIS (Y) && SANITIZE_THIS(Z))
253
254 #define SANITIZE_BASE(X,B) HB_LIKELY ((X).sanitize (SANITIZE_ARG, B))
255 #define SANITIZE_BASE2(X,Y,B) (SANITIZE_BASE (X,B) && SANITIZE_BASE (Y,B))
256
257 #define SANITIZE_SELF() SANITIZE_OBJ (*this)
258 #define SANITIZE_OBJ(X) SANITIZE_MEM(&(X), sizeof (X))
259
260 #define SANITIZE_MEM(B,L) HB_LIKELY (_hb_sanitize_check (SANITIZE_ARG, CharP(B), (L)))
261
262 #define SANITIZE_ARRAY(A,S,L) HB_LIKELY (_hb_sanitize_array (SANITIZE_ARG, CharP(A), S, L))
263
264 #define NEUTER(Var, Val) \
265         (SANITIZE_OBJ (Var) && \
266          _hb_sanitize_edit (SANITIZE_ARG, CharP(&(Var)), sizeof (Var)) && \
267          ((Var).set (Val), true))
268
269
270 /* Template to sanitize an object. */
271 template <typename Type>
272 struct Sanitizer
273 {
274   static hb_blob_t *sanitize (hb_blob_t *blob) {
275     hb_sanitize_context_t context;
276     bool sane;
277
278     /* TODO is_sane() stuff */
279
280   retry:
281 #if HB_DEBUG_SANITIZE
282     fprintf (stderr, "Sanitizer %p start %s\n", blob, __PRETTY_FUNCTION__);
283 #endif
284
285     _hb_sanitize_init (&context, blob);
286
287     Type *t = &CAST (Type, * (char *) CharP(context.start), 0);
288
289     sane = t->sanitize (SANITIZE_ARG_INIT);
290     if (sane) {
291       if (context.edit_count) {
292 #if HB_DEBUG_SANITIZE
293         fprintf (stderr, "Sanitizer %p passed first round with %d edits; going a second round %s\n",
294                  blob, context.edit_count, __PRETTY_FUNCTION__);
295 #endif
296         /* sanitize again to ensure no toe-stepping */
297         context.edit_count = 0;
298         sane = t->sanitize (SANITIZE_ARG_INIT);
299         if (context.edit_count) {
300 #if HB_DEBUG_SANITIZE
301           fprintf (stderr, "Sanitizer %p requested %d edits in second round; FAILLING %s\n",
302                    blob, context.edit_count, __PRETTY_FUNCTION__);
303 #endif
304           sane = false;
305         }
306       }
307       _hb_sanitize_fini (&context, true);
308     } else {
309       unsigned int edit_count = context.edit_count;
310       _hb_sanitize_fini (&context, true);
311       if (edit_count && !hb_blob_is_writable (blob) && hb_blob_try_writable (blob)) {
312         /* ok, we made it writable by relocating.  try again */
313 #if HB_DEBUG_SANITIZE
314         fprintf (stderr, "Sanitizer %p retry %s\n", blob, __PRETTY_FUNCTION__);
315 #endif
316         goto retry;
317       }
318     }
319
320 #if HB_DEBUG_SANITIZE
321     fprintf (stderr, "Sanitizer %p %s %s\n", blob, sane ? "passed" : "FAILED", __PRETTY_FUNCTION__);
322 #endif
323     if (sane)
324       return blob;
325     else {
326       hb_blob_destroy (blob);
327       return hb_blob_create_empty ();
328     }
329   }
330
331   static const Type& lock_instance (hb_blob_t *blob) {
332     return Type::get_for_data (hb_blob_lock (blob));
333   }
334 };
335
336
337 /*
338  *
339  * The OpenType Font File: Data Types
340  */
341
342
343 /* "The following data types are used in the OpenType font file.
344  *  All OpenType fonts use Motorola-style byte ordering (Big Endian):" */
345
346 /*
347  * Int types
348  */
349
350
351 template <typename Type, int Bytes> class BEInt;
352
353 template <typename Type>
354 class BEInt<Type, 2>
355 {
356   public:
357   inline class BEInt<Type,2>& operator = (Type i) { hb_be_uint16_put (v,i); return *this; }
358   inline operator Type () const { return hb_be_uint16_get (v); }
359   inline bool operator == (const BEInt<Type, 2>& o) const { return hb_be_uint16_cmp (v, o.v); }
360   inline bool operator != (const BEInt<Type, 2>& o) const { return !(*this == o); }
361   private: uint8_t v[2];
362 };
363 template <typename Type>
364 class BEInt<Type, 4>
365 {
366   public:
367   inline class BEInt<Type,4>& operator = (Type i) { hb_be_uint32_put (v,i); return *this; }
368   inline operator Type () const { return hb_be_uint32_get (v); }
369   inline bool operator == (const BEInt<Type, 4>& o) const { return hb_be_uint32_cmp (v, o.v); }
370   inline bool operator != (const BEInt<Type, 4>& o) const { return !(*this == o); }
371   private: uint8_t v[4];
372 };
373
374 /* Integer types in big-endian order and no alignment requirement */
375 template <typename Type>
376 struct IntType
377 {
378   static inline unsigned int get_size () { return sizeof (Type); }
379   inline void set (Type i) { v = i; }
380   inline operator Type(void) const { return v; }
381   inline bool operator == (const IntType<Type> &o) const { return v == o.v; }
382   inline bool operator != (const IntType<Type> &o) const { return v != o.v; }
383   inline bool sanitize (SANITIZE_ARG_DEF) {
384     TRACE_SANITIZE ();
385     return SANITIZE_SELF ();
386   }
387   private: BEInt<Type, sizeof (Type)> v;
388 };
389
390 typedef IntType<uint16_t> USHORT;       /* 16-bit unsigned integer. */
391 typedef IntType<int16_t>  SHORT;        /* 16-bit signed integer. */
392 typedef IntType<uint32_t> ULONG;        /* 32-bit unsigned integer. */
393 typedef IntType<int32_t>  LONG;         /* 32-bit signed integer. */
394
395 ASSERT_SIZE (USHORT, 2);
396 ASSERT_SIZE (SHORT, 2);
397 ASSERT_SIZE (ULONG, 4);
398 ASSERT_SIZE (LONG, 4);
399
400 /* Array of four uint8s (length = 32 bits) used to identify a script, language
401  * system, feature, or baseline */
402 struct Tag : ULONG
403 {
404   /* What the char* converters return is NOT nul-terminated.  Print using "%.4s" */
405   inline operator const char* (void) const { return CharP(this); }
406   inline operator char* (void) { return CharP(this); }
407
408   inline bool sanitize (SANITIZE_ARG_DEF) {
409     TRACE_SANITIZE ();
410     /* Note: Only accept ASCII-visible tags (mind DEL)
411      * This is one of the few places (only place?) that we check
412      * for data integrity, as opposed to just boundary checks.
413      */
414     return SANITIZE_SELF () && (((uint32_t) *this) & 0x80808080) == 0;
415   }
416 };
417 ASSERT_SIZE (Tag, 4);
418 DEFINE_NULL_DATA (Tag, 4, "    ");
419
420 /* Glyph index number, same as uint16 (length = 16 bits) */
421 typedef USHORT GlyphID;
422
423 /* Offset to a table, same as uint16 (length = 16 bits), Null offset = 0x0000 */
424 typedef USHORT Offset;
425
426 /* LongOffset to a table, same as uint32 (length = 32 bits), Null offset = 0x00000000 */
427 typedef ULONG LongOffset;
428
429
430 /* CheckSum */
431 struct CheckSum : ULONG
432 {
433   static uint32_t CalcTableChecksum (ULONG *Table, uint32_t Length)
434   {
435     uint32_t Sum = 0L;
436     ULONG *EndPtr = Table+((Length+3) & ~3) / ULONG::get_size ();
437
438     while (Table < EndPtr)
439       Sum += *Table++;
440     return Sum;
441   }
442 };
443 ASSERT_SIZE (CheckSum, 4);
444
445
446 /*
447  * Version Numbers
448  */
449
450 struct FixedVersion
451 {
452   inline operator uint32_t (void) const { return (major << 16) + minor; }
453
454   inline bool sanitize (SANITIZE_ARG_DEF) {
455     TRACE_SANITIZE ();
456     return SANITIZE_SELF ();
457   }
458
459   USHORT major;
460   USHORT minor;
461 };
462 ASSERT_SIZE (FixedVersion, 4);
463
464
465
466 /*
467  * Template subclasses of Offset and LongOffset that do the dereferencing.
468  * Use: (this+memberName)
469  */
470
471 template <typename OffsetType, typename Type>
472 struct GenericOffsetTo : OffsetType
473 {
474   inline const Type& operator () (const void *base) const
475   {
476     unsigned int offset = *this;
477     if (HB_UNLIKELY (!offset)) return Null(Type);
478     return CONST_CAST(Type, *CharP(base), offset);
479   }
480
481   inline bool sanitize (SANITIZE_ARG_DEF, void *base) {
482     TRACE_SANITIZE ();
483     if (!SANITIZE_SELF ()) return false;
484     unsigned int offset = *this;
485     if (HB_UNLIKELY (!offset)) return true;
486     return SANITIZE (CAST(Type, *CharP(base), offset)) || NEUTER (CAST(OffsetType,*this,0), 0);
487   }
488   inline bool sanitize (SANITIZE_ARG_DEF, void *base, void *base2) {
489     TRACE_SANITIZE ();
490     if (!SANITIZE_SELF ()) return false;
491     unsigned int offset = *this;
492     if (HB_UNLIKELY (!offset)) return true;
493     return SANITIZE_BASE (CAST(Type, *CharP(base), offset), base2) || NEUTER (CAST(OffsetType,*this,0), 0);
494   }
495   inline bool sanitize (SANITIZE_ARG_DEF, void *base, unsigned int user_data) {
496     TRACE_SANITIZE ();
497     if (!SANITIZE_SELF ()) return false;
498     unsigned int offset = *this;
499     if (HB_UNLIKELY (!offset)) return true;
500     return SANITIZE_BASE (CAST(Type, *CharP(base), offset), user_data) || NEUTER (CAST(OffsetType,*this,0), 0);
501   }
502 };
503 template <typename Base, typename OffsetType, typename Type>
504 inline const Type& operator + (const Base &base, GenericOffsetTo<OffsetType, Type> offset) { return offset (base); }
505
506 template <typename Type>
507 struct OffsetTo : GenericOffsetTo<Offset, Type> {};
508
509 template <typename Type>
510 struct LongOffsetTo : GenericOffsetTo<LongOffset, Type> {};
511
512
513 /*
514  * Array Types
515  */
516
517 template <typename LenType, typename Type>
518 struct GenericArrayOf
519 {
520   const Type *array(void) const { return &StructAfter<Type> (len); }
521   Type *array(void) { return &StructAfter<Type> (len); }
522
523   const Type *sub_array (unsigned int start_offset, unsigned int *pcount /* IN/OUT */) const
524   {
525     unsigned int count = len;
526     if (HB_UNLIKELY (start_offset > count))
527       count = 0;
528     else
529       count -= start_offset;
530     count = MIN (count, *pcount);
531     *pcount = count;
532     return array() + start_offset;
533   }
534
535   inline const Type& operator [] (unsigned int i) const
536   {
537     if (HB_UNLIKELY (i >= len)) return Null(Type);
538     return array()[i];
539   }
540   inline unsigned int get_size () const
541   { return len.get_size () + len * Type::get_size (); }
542
543   inline bool sanitize_shallow (SANITIZE_ARG_DEF) {
544     TRACE_SANITIZE ();
545     return SANITIZE_SELF() && SANITIZE_ARRAY (this, Type::get_size (), len);
546   }
547
548   inline bool sanitize (SANITIZE_ARG_DEF) {
549     TRACE_SANITIZE ();
550     if (!HB_LIKELY (sanitize_shallow (SANITIZE_ARG))) return false;
551     /* Note: for structs that do not reference other structs,
552      * we do not need to call their sanitize() as we already did
553      * a bound check on the aggregate array size, hence the return.
554      */
555     return true;
556     /* We do keep this code though to make sure the structs pointed
557      * to do have a simple sanitize(), ie. they do not reference
558      * other structs. */
559     unsigned int count = len;
560     for (unsigned int i = 0; i < count; i++)
561       if (!SANITIZE (array()[i]))
562         return false;
563     return true;
564   }
565   inline bool sanitize (SANITIZE_ARG_DEF, void *base) {
566     TRACE_SANITIZE ();
567     if (!HB_LIKELY (sanitize_shallow (SANITIZE_ARG))) return false;
568     unsigned int count = len;
569     for (unsigned int i = 0; i < count; i++)
570       if (!array()[i].sanitize (SANITIZE_ARG, base))
571         return false;
572     return true;
573   }
574   inline bool sanitize (SANITIZE_ARG_DEF, void *base, void *base2) {
575     TRACE_SANITIZE ();
576     if (!HB_LIKELY (sanitize_shallow (SANITIZE_ARG))) return false;
577     unsigned int count = len;
578     for (unsigned int i = 0; i < count; i++)
579       if (!array()[i].sanitize (SANITIZE_ARG, base, base2))
580         return false;
581     return true;
582   }
583   inline bool sanitize (SANITIZE_ARG_DEF, void *base, unsigned int user_data) {
584     TRACE_SANITIZE ();
585     if (!HB_LIKELY (sanitize_shallow (SANITIZE_ARG))) return false;
586     unsigned int count = len;
587     for (unsigned int i = 0; i < count; i++)
588       if (!array()[i].sanitize (SANITIZE_ARG, base, user_data))
589         return false;
590     return true;
591   }
592
593   LenType len;
594 /*Type array[VAR];*/
595 };
596
597 /* An array with a USHORT number of elements. */
598 template <typename Type>
599 struct ArrayOf : GenericArrayOf<USHORT, Type> {};
600
601 /* An array with a ULONG number of elements. */
602 template <typename Type>
603 struct LongArrayOf : GenericArrayOf<ULONG, Type> {};
604
605 /* Array of Offset's */
606 template <typename Type>
607 struct OffsetArrayOf : ArrayOf<OffsetTo<Type> > {};
608
609 /* Array of LongOffset's */
610 template <typename Type>
611 struct LongOffsetArrayOf : ArrayOf<LongOffsetTo<Type> > {};
612
613 /* LongArray of LongOffset's */
614 template <typename Type>
615 struct LongOffsetLongArrayOf : LongArrayOf<LongOffsetTo<Type> > {};
616
617 /* Array of offsets relative to the beginning of the array itself. */
618 template <typename Type>
619 struct OffsetListOf : OffsetArrayOf<Type>
620 {
621   inline const Type& operator [] (unsigned int i) const
622   {
623     if (HB_UNLIKELY (i >= this->len)) return Null(Type);
624     return this+this->array()[i];
625   }
626
627   inline bool sanitize (SANITIZE_ARG_DEF) {
628     TRACE_SANITIZE ();
629     return OffsetArrayOf<Type>::sanitize (SANITIZE_ARG, CharP(this));
630   }
631   inline bool sanitize (SANITIZE_ARG_DEF, unsigned int user_data) {
632     TRACE_SANITIZE ();
633     return OffsetArrayOf<Type>::sanitize (SANITIZE_ARG, CharP(this), user_data);
634   }
635 };
636
637
638 /* An array with a USHORT number of elements,
639  * starting at second element. */
640 template <typename Type>
641 struct HeadlessArrayOf
642 {
643   const Type *array(void) const { return &StructAfter<Type> (len); }
644   Type *array(void) { return &StructAfter<Type> (len); }
645
646   inline const Type& operator [] (unsigned int i) const
647   {
648     if (HB_UNLIKELY (i >= len || !i)) return Null(Type);
649     return array()[i-1];
650   }
651   inline unsigned int get_size () const
652   { return len.get_size () + (len ? len - 1 : 0) * Type::get_size (); }
653
654   inline bool sanitize_shallow (SANITIZE_ARG_DEF) {
655     TRACE_SANITIZE ();
656     return SANITIZE_SELF() && SANITIZE_ARRAY (this, Type::get_size (), len);
657   }
658
659   inline bool sanitize (SANITIZE_ARG_DEF) {
660     TRACE_SANITIZE ();
661     if (!HB_LIKELY (sanitize_shallow (SANITIZE_ARG))) return false;
662     /* Note: for structs that do not reference other structs,
663      * we do not need to call their sanitize() as we already did
664      * a bound check on the aggregate array size, hence the return.
665      */
666     return true;
667     /* We do keep this code though to make sure the structs pointed
668      * to do have a simple sanitize(), ie. they do not reference
669      * other structs. */
670     unsigned int count = len ? len - 1 : 0;
671     Type *a = array();
672     for (unsigned int i = 0; i < count; i++)
673       if (!SANITIZE (a[i]))
674         return false;
675     return true;
676   }
677
678   USHORT len;
679 /*Type array[VAR];*/
680 };
681
682
683 #endif /* HB_OPEN_TYPE_PRIVATE_HH */
Domain: UI Framework / Uncategorized;