[svn] Fix a possible race condition when opening files.

[wget] / src / utils.c
diff --git a/src/utils.c b/src/utils.c

index 85dd5fcddadf82a412a8fbb18203a6622850e25e..0fe30bfd38e494b6ea0991733ba948a4a7495bb4 100644 (file)
--- a/src/utils.c
+++ b/src/utils.c
@@ -1,6 +1,5 @@
-/* Various functions of utilitarian nature.
-   Copyright (C) 1995, 1996, 1997, 1998, 2000, 2001
-   Free Software Foundation, Inc.
+/* Various utility functions.
+   Copyright (C) 2003 Free Software Foundation, Inc.
  
  This file is part of GNU Wget.
  
  
  This file is part of GNU Wget.
  
@@ -47,7 +46,9 @@ so, delete this exception statement from your version.  */
  #ifdef HAVE_PWD_H
  # include <pwd.h>
  #endif
  #ifdef HAVE_PWD_H
  # include <pwd.h>
  #endif
-#include <limits.h>
+#ifdef HAVE_LIMITS_H
+# include <limits.h>
+#endif
  #ifdef HAVE_UTIME_H
  # include <utime.h>
  #endif
  #ifdef HAVE_UTIME_H
  # include <utime.h>
  #endif
@@ -60,6 +61,11 @@ so, delete this exception statement from your version.  */
  #endif
  #include <fcntl.h>
  #include <assert.h>
  #endif
  #include <fcntl.h>
  #include <assert.h>
+#ifdef WGET_USE_STDARG
+# include <stdarg.h>
+#else
+# include <varargs.h>
+#endif
  
  /* For TIOCGWINSZ and friends: */
  #ifdef HAVE_SYS_IOCTL_H
  
  /* For TIOCGWINSZ and friends: */
  #ifdef HAVE_SYS_IOCTL_H
@@ -77,10 +83,14 @@ so, delete this exception statement from your version.  */
  #ifdef HAVE_SETJMP_H
  # include <setjmp.h>
  #endif
  #ifdef HAVE_SETJMP_H
  # include <setjmp.h>
  #endif
+
+#ifndef HAVE_SIGSETJMP
  /* If sigsetjmp is a macro, configure won't pick it up. */
  /* If sigsetjmp is a macro, configure won't pick it up. */
-#ifdef sigsetjmp
-# define HAVE_SIGSETJMP
+# ifdef sigsetjmp
+#  define HAVE_SIGSETJMP
+# endif
  #endif
  #endif
+
  #ifdef HAVE_SIGNAL
  # ifdef HAVE_SIGSETJMP
  #  define USE_SIGNAL_TIMEOUT
  #ifdef HAVE_SIGNAL
  # ifdef HAVE_SIGSETJMP
  #  define USE_SIGNAL_TIMEOUT
@@ -98,238 +108,6 @@ so, delete this exception statement from your version.  */
  extern int errno;
  #endif
  
  extern int errno;
  #endif
  
-/* This section implements several wrappers around the basic
-   allocation routines.  This is done for two reasons: first, so that
-   the callers of these functions need not consistently check for
-   errors.  If there is not enough virtual memory for running Wget,
-   something is seriously wrong, and Wget exits with an appropriate
-   error message.
-
-   The second reason why these are useful is that, if DEBUG_MALLOC is
-   defined, they also provide a handy (if crude) malloc debugging
-   interface that checks memory leaks.  */
-
-/* Croak the fatal memory error and bail out with non-zero exit
-   status.  */
-static void
-memfatal (const char *what)
-{
-  /* Make sure we don't try to store part of the log line, and thus
-     call malloc.  */
-  log_set_save_context (0);
-  logprintf (LOG_ALWAYS, _("%s: %s: Not enough memory.\n"), exec_name, what);
-  exit (1);
-}
-
-/* These functions end with _real because they need to be
-   distinguished from the debugging functions, and from the macros.
-   Explanation follows:
-
-   If memory debugging is not turned on, wget.h defines these:
-
-     #define xmalloc xmalloc_real
-     #define xrealloc xrealloc_real
-     #define xstrdup xstrdup_real
-     #define xfree free
-
-   In case of memory debugging, the definitions are a bit more
-   complex, because we want to provide more information, *and* we want
-   to call the debugging code.  (The former is the reason why xmalloc
-   and friends need to be macros in the first place.)  Then it looks
-   like this:
-
-     #define xmalloc(a) xmalloc_debug (a, __FILE__, __LINE__)
-     #define xfree(a)   xfree_debug (a, __FILE__, __LINE__)
-     #define xrealloc(a, b) xrealloc_debug (a, b, __FILE__, __LINE__)
-     #define xstrdup(a) xstrdup_debug (a, __FILE__, __LINE__)
-
-   Each of the *_debug function does its magic and calls the real one.  */
-
-#ifdef DEBUG_MALLOC
-# define STATIC_IF_DEBUG static
-#else
-# define STATIC_IF_DEBUG
-#endif
-
-STATIC_IF_DEBUG void *
-xmalloc_real (size_t size)
-{
-  void *ptr = malloc (size);
-  if (!ptr)
-    memfatal ("malloc");
-  return ptr;
-}
-
-STATIC_IF_DEBUG void *
-xrealloc_real (void *ptr, size_t newsize)
-{
-  void *newptr;
-
-  /* Not all Un*xes have the feature of realloc() that calling it with
-     a NULL-pointer is the same as malloc(), but it is easy to
-     simulate.  */
-  if (ptr)
-    newptr = realloc (ptr, newsize);
-  else
-    newptr = malloc (newsize);
-  if (!newptr)
-    memfatal ("realloc");
-  return newptr;
-}
-
-STATIC_IF_DEBUG char *
-xstrdup_real (const char *s)
-{
-  char *copy;
-
-#ifndef HAVE_STRDUP
-  int l = strlen (s);
-  copy = malloc (l + 1);
-  if (!copy)
-    memfatal ("strdup");
-  memcpy (copy, s, l + 1);
-#else  /* HAVE_STRDUP */
-  copy = strdup (s);
-  if (!copy)
-    memfatal ("strdup");
-#endif /* HAVE_STRDUP */
-
-  return copy;
-}
-
-#ifdef DEBUG_MALLOC
-
-/* Crude home-grown routines for debugging some malloc-related
-   problems.  Featured:
-
-   * Counting the number of malloc and free invocations, and reporting
-     the "balance", i.e. how many times more malloc was called than it
-     was the case with free.
-
-   * Making malloc store its entry into a simple array and free remove
-     stuff from that array.  At the end, print the pointers which have
-     not been freed, along with the source file and the line number.
-     This also has the side-effect of detecting freeing memory that
-     was never allocated.
-
-   Note that this kind of memory leak checking strongly depends on
-   every malloc() being followed by a free(), even if the program is
-   about to finish.  Wget is careful to free the data structure it
-   allocated in init.c.  */
-
-static int malloc_count, free_count;
-
-static struct {
-  char *ptr;
-  const char *file;
-  int line;
-} malloc_debug[100000];
-
-/* Both register_ptr and unregister_ptr take O(n) operations to run,
-   which can be a real problem.  It would be nice to use a hash table
-   for malloc_debug, but the functions in hash.c are not suitable
-   because they can call malloc() themselves.  Maybe it would work if
-   the hash table were preallocated to a huge size, and if we set the
-   rehash threshold to 1.0.  */
-
-/* Register PTR in malloc_debug.  Abort if this is not possible
-   (presumably due to the number of current allocations exceeding the
-   size of malloc_debug.)  */
-
-static void
-register_ptr (void *ptr, const char *file, int line)
-{
-  int i;
-  for (i = 0; i < countof (malloc_debug); i++)
-    if (malloc_debug[i].ptr == NULL)
-      {
-       malloc_debug[i].ptr = ptr;
-       malloc_debug[i].file = file;
-       malloc_debug[i].line = line;
-       return;
-      }
-  abort ();
-}
-
-/* Unregister PTR from malloc_debug.  Abort if PTR is not present in
-   malloc_debug.  (This catches calling free() with a bogus pointer.)  */
-
-static void
-unregister_ptr (void *ptr)
-{
-  int i;
-  for (i = 0; i < countof (malloc_debug); i++)
-    if (malloc_debug[i].ptr == ptr)
-      {
-       malloc_debug[i].ptr = NULL;
-       return;
-      }
-  abort ();
-}
-
-/* Print the malloc debug stats that can be gathered from the above
-   information.  Currently this is the count of mallocs, frees, the
-   difference between the two, and the dump of the contents of
-   malloc_debug.  The last part are the memory leaks.  */
-
-void
-print_malloc_debug_stats (void)
-{
-  int i;
-  printf ("\nMalloc:  %d\nFree:    %d\nBalance: %d\n\n",
-         malloc_count, free_count, malloc_count - free_count);
-  for (i = 0; i < countof (malloc_debug); i++)
-    if (malloc_debug[i].ptr != NULL)
-      printf ("0x%08ld: %s:%d\n", (long)malloc_debug[i].ptr,
-             malloc_debug[i].file, malloc_debug[i].line);
-}
-
-void *
-xmalloc_debug (size_t size, const char *source_file, int source_line)
-{
-  void *ptr = xmalloc_real (size);
-  ++malloc_count;
-  register_ptr (ptr, source_file, source_line);
-  return ptr;
-}
-
-void
-xfree_debug (void *ptr, const char *source_file, int source_line)
-{
-  assert (ptr != NULL);
-  ++free_count;
-  unregister_ptr (ptr);
-  free (ptr);
-}
-
-void *
-xrealloc_debug (void *ptr, size_t newsize, const char *source_file, int source_line)
-{
-  void *newptr = xrealloc_real (ptr, newsize);
-  if (!ptr)
-    {
-      ++malloc_count;
-      register_ptr (newptr, source_file, source_line);
-    }
-  else if (newptr != ptr)
-    {
-      unregister_ptr (ptr);
-      register_ptr (newptr, source_file, source_line);
-    }
-  return newptr;
-}
-
-char *
-xstrdup_debug (const char *s, const char *source_file, int source_line)
-{
-  char *copy = xstrdup_real (s);
-  ++malloc_count;
-  register_ptr (copy, source_file, source_line);
-  return copy;
-}
-
-#endif /* DEBUG_MALLOC */
-\f
  /* Utility function: like xstrdup(), but also lowercases S.  */
  
  char *
  /* Utility function: like xstrdup(), but also lowercases S.  */
  
  char *
@@ -403,23 +181,63 @@ sepstring (const char *s)
    return res;
  }
  \f
    return res;
  }
  \f
+#ifdef WGET_USE_STDARG
+# define VA_START(args, arg1) va_start (args, arg1)
+#else
+# define VA_START(args, ignored) va_start (args)
+#endif
+
+/* Like sprintf, but allocates a string of sufficient size with malloc
+   and returns it.  GNU libc has a similar function named asprintf,
+   which requires the pointer to the string to be passed.  */
+
+char *
+aprintf (const char *fmt, ...)
+{
+  /* This function is implemented using vsnprintf, which we provide
+     for the systems that don't have it.  Therefore, it should be 100%
+     portable.  */
+
+  int size = 32;
+  char *str = xmalloc (size);
+
+  while (1)
+    {
+      int n;
+      va_list args;
+
+      /* See log_vprintf_internal for explanation why it's OK to rely
+        on the return value of vsnprintf.  */
+
+      VA_START (args, fmt);
+      n = vsnprintf (str, size, fmt, args);
+      va_end (args);
+
+      /* If the printing worked, return the string. */
+      if (n > -1 && n < size)
+       return str;
+
+      /* Else try again with a larger buffer. */
+      if (n > -1)              /* C99 */
+       size = n + 1;           /* precisely what is needed */
+      else
+       size <<= 1;             /* twice the old size */
+      str = xrealloc (str, size);
+    }
+  return NULL;                 /* unreached */
+}
+\f
  /* Return pointer to a static char[] buffer in which zero-terminated
     string-representation of TM (in form hh:mm:ss) is printed.
  
  /* Return pointer to a static char[] buffer in which zero-terminated
     string-representation of TM (in form hh:mm:ss) is printed.
  
-   If TM is non-NULL, the current time-in-seconds will be stored
-   there.
-
-   (#### This is misleading: one would expect TM would be used instead
-   of the current time in that case.  This design was probably
-   influenced by the design time(2), and should be changed at some
-   points.  No callers use non-NULL TM anyway.)  */
+   If TM is NULL, the current time will be used.  */
  
  char *
  time_str (time_t *tm)
  {
    static char output[15];
    struct tm *ptm;
  
  char *
  time_str (time_t *tm)
  {
    static char output[15];
    struct tm *ptm;
-  time_t secs = time (tm);
+  time_t secs = tm ? *tm : time (NULL);
  
    if (secs == -1)
      {
  
    if (secs == -1)
      {
@@ -440,7 +258,7 @@ datetime_str (time_t *tm)
  {
    static char output[20];      /* "YYYY-MM-DD hh:mm:ss" + \0 */
    struct tm *ptm;
  {
    static char output[20];      /* "YYYY-MM-DD hh:mm:ss" + \0 */
    struct tm *ptm;
-  time_t secs = time (tm);
+  time_t secs = tm ? *tm : time (NULL);
  
    if (secs == -1)
      {
  
    if (secs == -1)
      {
@@ -465,12 +283,21 @@ fork_to_background (void)
  {
    pid_t pid;
    /* Whether we arrange our own version of opt.lfilename here.  */
  {
    pid_t pid;
    /* Whether we arrange our own version of opt.lfilename here.  */
-  int changedp = 0;
+  int logfile_changed = 0;
  
    if (!opt.lfilename)
      {
  
    if (!opt.lfilename)
      {
-      opt.lfilename = unique_name (DEFAULT_LOGFILE, 0);
-      changedp = 1;
+      /* We must create the file immediately to avoid either a race
+        condition (which arises from using unique_name and failing to
+        use fopen_excl) or lying to the user about the log file name
+        (which arises from using unique_name, printing the name, and
+        using fopen_excl later on.)  */
+      FILE *new_log_fp = unique_create (DEFAULT_LOGFILE, 0, &opt.lfilename);
+      if (new_log_fp)
+       {
+         logfile_changed = 1;
+         fclose (new_log_fp);
+       }
      }
    pid = fork ();
    if (pid < 0)
      }
    pid = fork ();
    if (pid < 0)
@@ -483,7 +310,7 @@ fork_to_background (void)
      {
        /* parent, no error */
        printf (_("Continuing in background, pid %d.\n"), (int)pid);
      {
        /* parent, no error */
        printf (_("Continuing in background, pid %d.\n"), (int)pid);
-      if (changedp)
+      if (logfile_changed)
         printf (_("Output will be written to `%s'.\n"), opt.lfilename);
        exit (0);                        /* #### should we use _exit()? */
      }
         printf (_("Output will be written to `%s'.\n"), opt.lfilename);
        exit (0);                        /* #### should we use _exit()? */
      }
@@ -519,7 +346,7 @@ int
  remove_link (const char *file)
  {
    int err = 0;
  remove_link (const char *file)
  {
    int err = 0;
-  struct stat st;
+  struct_stat st;
  
    if (lstat (file, &st) == 0 && S_ISLNK (st.st_mode))
      {
  
    if (lstat (file, &st) == 0 && S_ISLNK (st.st_mode))
      {
@@ -545,7 +372,7 @@ file_exists_p (const char *filename)
  #ifdef HAVE_ACCESS
    return access (filename, F_OK) >= 0;
  #else
  #ifdef HAVE_ACCESS
    return access (filename, F_OK) >= 0;
  #else
-  struct stat buf;
+  struct_stat buf;
    return stat (filename, &buf) >= 0;
  #endif
  }
    return stat (filename, &buf) >= 0;
  #endif
  }
@@ -555,7 +382,7 @@ file_exists_p (const char *filename)
  int
  file_non_directory_p (const char *path)
  {
  int
  file_non_directory_p (const char *path)
  {
-  struct stat buf;
+  struct_stat buf;
    /* Use lstat() rather than stat() so that symbolic links pointing to
       directories can be identified correctly.  */
    if (lstat (path, &buf) != 0)
    /* Use lstat() rather than stat() so that symbolic links pointing to
       directories can be identified correctly.  */
    if (lstat (path, &buf) != 0)
@@ -565,20 +392,28 @@ file_non_directory_p (const char *path)
  
  /* Return the size of file named by FILENAME, or -1 if it cannot be
     opened or seeked into. */
  
  /* Return the size of file named by FILENAME, or -1 if it cannot be
     opened or seeked into. */
-long
+wgint
  file_size (const char *filename)
  {
  file_size (const char *filename)
  {
-  long size;
+#if defined(HAVE_FSEEKO) && defined(HAVE_FTELLO)
+  wgint size;
    /* We use fseek rather than stat to determine the file size because
    /* We use fseek rather than stat to determine the file size because
-     that way we can also verify whether the file is readable.
-     Inspired by the POST patch by Arnaud Wylie.  */
+     that way we can also verify that the file is readable without
+     explicitly checking for permissions.  Inspired by the POST patch
+     by Arnaud Wylie.  */
    FILE *fp = fopen (filename, "rb");
    if (!fp)
      return -1;
    FILE *fp = fopen (filename, "rb");
    if (!fp)
      return -1;
-  fseek (fp, 0, SEEK_END);
-  size = ftell (fp);
+  fseeko (fp, 0, SEEK_END);
+  size = ftello (fp);
    fclose (fp);
    return size;
    fclose (fp);
    return size;
+#else
+  struct_stat st;
+  if (stat (filename, &st) < 0)
+    return -1;
+  return st.st_size;
+#endif
  }
  
  /* stat file names named PREFIX.1, PREFIX.2, etc., until one that
  }
  
  /* stat file names named PREFIX.1, PREFIX.2, etc., until one that
@@ -613,7 +448,7 @@ unique_name_1 (const char *prefix)
     exist at the point in time when the function was called.
     Therefore, where security matters, don't rely that the file created
     by this function exists until you open it with O_EXCL or
     exist at the point in time when the function was called.
     Therefore, where security matters, don't rely that the file created
     by this function exists until you open it with O_EXCL or
-   something.
+   equivalent.
  
     If ALLOW_PASSTHROUGH is 0, it always returns a freshly allocated
     string.  Otherwise, it may return FILE if the file doesn't exist
  
     If ALLOW_PASSTHROUGH is 0, it always returns a freshly allocated
     string.  Otherwise, it may return FILE if the file doesn't exist
@@ -631,6 +466,65 @@ unique_name (const char *file, int allow_passthrough)
       and return it.  */
    return unique_name_1 (file);
  }
       and return it.  */
    return unique_name_1 (file);
  }
+
+/* Create a file based on NAME, except without overwriting an existing
+   file with that name.  Providing O_EXCL is correctly implemented,
+   this function does not have the race condition associated with
+   opening the file returned by unique_name.  */
+
+FILE *
+unique_create (const char *name, int binary, char **opened_name)
+{
+  /* unique file name, based on NAME */
+  char *uname = unique_name (name, 0);
+  FILE *fp;
+  while ((fp = fopen_excl (uname, binary)) == NULL && errno == EEXIST)
+    {
+      xfree (uname);
+      uname = unique_name (name, 0);
+    }
+  if (opened_name && fp != NULL)
+    {
+      if (fp)
+       *opened_name = uname;
+      else
+       {
+         *opened_name = NULL;
+         xfree (uname);
+       }
+    }
+  else
+    xfree (uname);
+  return fp;
+}
+
+/* Open the file for writing, with the addition that the file is
+   opened "exclusively".  This means that, if the file already exists,
+   this function will *fail* and errno will be set to EEXIST.  If
+   BINARY is set, the file will be opened in binary mode, equivalent
+   to fopen's "wb".
+
+   If opening the file fails for any reason, including the file having
+   previously existed, this function returns NULL and sets errno
+   appropriately.  */
+   
+FILE *
+fopen_excl (const char *fname, int binary)
+{
+#ifdef O_EXCL
+  int flags = O_WRONLY | O_CREAT | O_EXCL;
+# ifdef O_BINARY
+  if (binary)
+    flags |= O_BINARY
+# endif
+  int fd = open (fname, flags, 0666);
+  if (fd < 0)
+    return NULL;
+  return fdopen (fd, binary ? "wb" : "w");
+#else  /* not O_EXCL */
+  return fopen (fname, binary ? "wb" : "w");
+#endif /* not O_EXCL */
+}
  \f
  /* Create DIRECTORY.  If some of the pathname components of DIRECTORY
     are missing, create them first.  In case any mkdir() call fails,
  \f
  /* Create DIRECTORY.  If some of the pathname components of DIRECTORY
     are missing, create them first.  In case any mkdir() call fails,
@@ -981,7 +875,7 @@ read_file (const char *file)
  {
    int fd;
    struct file_memory *fm;
  {
    int fd;
    struct file_memory *fm;
-  long size;
+  wgint size;
    int inhibit_close = 0;
  
    /* Some magic in the finest tradition of Perl and its kin: if FILE
    int inhibit_close = 0;
  
    /* Some magic in the finest tradition of Perl and its kin: if FILE
@@ -997,11 +891,11 @@ read_file (const char *file)
      fd = open (file, O_RDONLY);
    if (fd < 0)
      return NULL;
      fd = open (file, O_RDONLY);
    if (fd < 0)
      return NULL;
-  fm = xmalloc (sizeof (struct file_memory));
+  fm = xnew (struct file_memory);
  
  #ifdef HAVE_MMAP
    {
  
  #ifdef HAVE_MMAP
    {
-    struct stat buf;
+    struct_stat buf;
      if (fstat (fd, &buf) < 0)
        goto mmap_lose;
      fm->length = buf.st_size;
      if (fstat (fd, &buf) < 0)
        goto mmap_lose;
      fm->length = buf.st_size;
@@ -1033,7 +927,7 @@ read_file (const char *file)
    fm->content = xmalloc (size);
    while (1)
      {
    fm->content = xmalloc (size);
    while (1)
      {
-      long nread;
+      wgint nread;
        if (fm->length > size / 2)
         {
           /* #### I'm not sure whether the whole exponential-growth
        if (fm->length > size / 2)
         {
           /* #### I'm not sure whether the whole exponential-growth
@@ -1165,7 +1059,7 @@ merge_vecs (char **v1, char **v2)
  slist *
  slist_append (slist *l, const char *s)
  {
  slist *
  slist_append (slist *l, const char *s)
  {
-  slist *newel = (slist *)xmalloc (sizeof (slist));
+  slist *newel = xnew (slist);
    slist *beg = l;
  
    newel->string = xstrdup (s);
    slist *beg = l;
  
    newel->string = xstrdup (s);
@@ -1185,7 +1079,7 @@ slist_append (slist *l, const char *s)
  slist *
  slist_prepend (slist *l, const char *s)
  {
  slist *
  slist_prepend (slist *l, const char *s)
  {
-  slist *newel = (slist *)xmalloc (sizeof (slist));
+  slist *newel = xnew (slist);
    newel->string = xstrdup (s);
    newel->next = l;
    return newel;
    newel->string = xstrdup (s);
    newel->next = l;
    return newel;
@@ -1330,10 +1224,10 @@ legible_1 (const char *repr)
    return outbuf;
  }
  
    return outbuf;
  }
  
-/* Legible -- return a static pointer to the legibly printed long.  */
+/* Legible -- return a static pointer to the legibly printed wgint.  */
  
  char *
  
  char *
-legible (long l)
+legible (wgint l)
  {
    char inbuf[24];
    /* Print the number into the buffer.  */
  {
    char inbuf[24];
    /* Print the number into the buffer.  */
@@ -1367,9 +1261,9 @@ legible_large_int (LARGE_INT l)
    return legible_1 (inbuf);
  }
  
    return legible_1 (inbuf);
  }
  
-/* Count the digits in a (long) integer.  */
+/* Count the digits in an integer number.  */
  int
  int
-numdigit (long number)
+numdigit (wgint number)
  {
    int cnt = 1;
    if (number < 0)
  {
    int cnt = 1;
    if (number < 0)
@@ -1382,12 +1276,6 @@ numdigit (long number)
    return cnt;
  }
  
    return cnt;
  }
  
-/* A half-assed implementation of INT_MAX on machines that don't
-   bother to define one. */
-#ifndef INT_MAX
-# define INT_MAX ((int) ~((unsigned)1 << 8 * sizeof (int) - 1))
-#endif
-
  #define ONE_DIGIT(figure) *p++ = n / (figure) + '0'
  #define ONE_DIGIT_ADVANCE(figure) (ONE_DIGIT (figure), n %= (figure))
  
  #define ONE_DIGIT(figure) *p++ = n / (figure) + '0'
  #define ONE_DIGIT_ADVANCE(figure) (ONE_DIGIT (figure), n %= (figure))
  
@@ -1402,7 +1290,7 @@ numdigit (long number)
  #define DIGITS_9(figure) ONE_DIGIT_ADVANCE (figure); DIGITS_8 ((figure) / 10)
  #define DIGITS_10(figure) ONE_DIGIT_ADVANCE (figure); DIGITS_9 ((figure) / 10)
  
  #define DIGITS_9(figure) ONE_DIGIT_ADVANCE (figure); DIGITS_8 ((figure) / 10)
  #define DIGITS_10(figure) ONE_DIGIT_ADVANCE (figure); DIGITS_9 ((figure) / 10)
  
-/* DIGITS_<11-20> are only used on machines with 64-bit longs. */
+/* DIGITS_<11-20> are only used on machines with 64-bit numbers. */
  
  #define DIGITS_11(figure) ONE_DIGIT_ADVANCE (figure); DIGITS_10 ((figure) / 10)
  #define DIGITS_12(figure) ONE_DIGIT_ADVANCE (figure); DIGITS_11 ((figure) / 10)
  
  #define DIGITS_11(figure) ONE_DIGIT_ADVANCE (figure); DIGITS_10 ((figure) / 10)
  #define DIGITS_12(figure) ONE_DIGIT_ADVANCE (figure); DIGITS_11 ((figure) / 10)
@@ -1414,13 +1302,72 @@ numdigit (long number)
  #define DIGITS_18(figure) ONE_DIGIT_ADVANCE (figure); DIGITS_17 ((figure) / 10)
  #define DIGITS_19(figure) ONE_DIGIT_ADVANCE (figure); DIGITS_18 ((figure) / 10)
  
  #define DIGITS_18(figure) ONE_DIGIT_ADVANCE (figure); DIGITS_17 ((figure) / 10)
  #define DIGITS_19(figure) ONE_DIGIT_ADVANCE (figure); DIGITS_18 ((figure) / 10)
  
-/* Print NUMBER to BUFFER in base 10.  This should be completely
-   equivalent to `sprintf(buffer, "%ld", number)', only much faster.
+/* It is annoying that we have three different syntaxes for 64-bit constants:
+    - nnnL for 64-bit systems, where they are of type long;
+    - nnnLL for 32-bit systems that support long long;
+    - nnnI64 for MS compiler on Windows, which doesn't support long long. */
+
+#if SIZEOF_LONG > 4
+/* If long is large enough, use long constants. */
+# define C10000000000 10000000000L
+# define C100000000000 100000000000L
+# define C1000000000000 1000000000000L
+# define C10000000000000 10000000000000L
+# define C100000000000000 100000000000000L
+# define C1000000000000000 1000000000000000L
+# define C10000000000000000 10000000000000000L
+# define C100000000000000000 100000000000000000L
+# define C1000000000000000000 1000000000000000000L
+#else
+# if SIZEOF_LONG_LONG != 0
+/* Otherwise, if long long is available, use long long constants. */
+#  define C10000000000 10000000000LL
+#  define C100000000000 100000000000LL
+#  define C1000000000000 1000000000000LL
+#  define C10000000000000 10000000000000LL
+#  define C100000000000000 100000000000000LL
+#  define C1000000000000000 1000000000000000LL
+#  define C10000000000000000 10000000000000000LL
+#  define C100000000000000000 100000000000000000LL
+#  define C1000000000000000000 1000000000000000000LL
+# else
+#  if defined(WINDOWS)
+/* Use __int64 constants under Windows. */
+#   define C10000000000 10000000000I64
+#   define C100000000000 100000000000I64
+#   define C1000000000000 1000000000000I64
+#   define C10000000000000 10000000000000I64
+#   define C100000000000000 100000000000000I64
+#   define C1000000000000000 1000000000000000I64
+#   define C10000000000000000 10000000000000000I64
+#   define C100000000000000000 100000000000000000I64
+#   define C1000000000000000000 1000000000000000000I64
+#  endif
+# endif
+#endif
+
+/* SPRINTF_WGINT is used by number_to_string to handle pathological
+   cases and to portably support strange sizes of wgint. */
+#if SIZEOF_LONG >= SIZEOF_WGINT
+#  define SPRINTF_WGINT(buf, n) sprintf(buf, "%ld", (long) (n))
+#else
+# if SIZEOF_LONG_LONG >= SIZEOF_WGINT
+#   define SPRINTF_WGINT(buf, n) sprintf(buf, "%lld", (long long) (n))
+# else
+#  ifdef WINDOWS
+#   define SPRINTF_WGINT(buf, n) sprintf(buf, "%I64", (__int64) (n))
+#  endif
+# endif
+#endif
+
+/* Print NUMBER to BUFFER in base 10.  This is equivalent to
+   `sprintf(buffer, "%lld", (long long) number)', only much faster and
+   portable to machines without long long.
  
     The speedup may make a difference in programs that frequently
     convert numbers to strings.  Some implementations of sprintf,
     particularly the one in GNU libc, have been known to be extremely
  
     The speedup may make a difference in programs that frequently
     convert numbers to strings.  Some implementations of sprintf,
     particularly the one in GNU libc, have been known to be extremely
-   slow compared to this function.
+   slow when converting integers to strings.
  
     Return the pointer to the location where the terminating zero was
     printed.  (Equivalent to calling buffer+strlen(buffer) after the
  
     Return the pointer to the location where the terminating zero was
     printed.  (Equivalent to calling buffer+strlen(buffer) after the
@@ -1433,25 +1380,25 @@ numdigit (long number)
     terminating '\0'.  */
  
  char *
     terminating '\0'.  */
  
  char *
-number_to_string (char *buffer, long number)
+number_to_string (char *buffer, wgint number)
  {
    char *p = buffer;
  {
    char *p = buffer;
-  long n = number;
+  wgint n = number;
  
  
-#if (SIZEOF_LONG != 4) && (SIZEOF_LONG != 8)
+#if (SIZEOF_WGINT != 4) && (SIZEOF_WGINT != 8)
    /* We are running in a strange or misconfigured environment.  Let
       sprintf cope with it.  */
    /* We are running in a strange or misconfigured environment.  Let
       sprintf cope with it.  */
-  sprintf (buffer, "%ld", n);
+  SPRINTF_WGINT (buffer, n);
    p += strlen (buffer);
    p += strlen (buffer);
-#else  /* (SIZEOF_LONG == 4) || (SIZEOF_LONG == 8) */
+#else  /* (SIZEOF_WGINT == 4) || (SIZEOF_WGINT == 8) */
  
    if (n < 0)
      {
  
    if (n < 0)
      {
-      if (n < -INT_MAX)
+      if (n < -WGINT_MAX)
         {
           /* We cannot print a '-' and assign -n to n because -n would
              overflow.  Let sprintf deal with this border case.  */
         {
           /* We cannot print a '-' and assign -n to n because -n would
              overflow.  Let sprintf deal with this border case.  */
-         sprintf (buffer, "%ld", n);
+         SPRINTF_WGINT (buffer, n);
           p += strlen (buffer);
           return p;
         }
           p += strlen (buffer);
           return p;
         }
@@ -1469,24 +1416,26 @@ number_to_string (char *buffer, long number)
    else if (n < 10000000)             { DIGITS_7 (1000000); }
    else if (n < 100000000)            { DIGITS_8 (10000000); }
    else if (n < 1000000000)           { DIGITS_9 (100000000); }
    else if (n < 10000000)             { DIGITS_7 (1000000); }
    else if (n < 100000000)            { DIGITS_8 (10000000); }
    else if (n < 1000000000)           { DIGITS_9 (100000000); }
-#if SIZEOF_LONG == 4
+#if SIZEOF_WGINT == 4
+  /* wgint is four bytes long: we're done. */
    /* ``if (1)'' serves only to preserve editor indentation. */
    else if (1)                        { DIGITS_10 (1000000000); }
    /* ``if (1)'' serves only to preserve editor indentation. */
    else if (1)                        { DIGITS_10 (1000000000); }
-#else  /* SIZEOF_LONG != 4 */
-  else if (n < 10000000000L)         { DIGITS_10 (1000000000L); }
-  else if (n < 100000000000L)        { DIGITS_11 (10000000000L); }
-  else if (n < 1000000000000L)       { DIGITS_12 (100000000000L); }
-  else if (n < 10000000000000L)      { DIGITS_13 (1000000000000L); }
-  else if (n < 100000000000000L)     { DIGITS_14 (10000000000000L); }
-  else if (n < 1000000000000000L)    { DIGITS_15 (100000000000000L); }
-  else if (n < 10000000000000000L)   { DIGITS_16 (1000000000000000L); }
-  else if (n < 100000000000000000L)  { DIGITS_17 (10000000000000000L); }
-  else if (n < 1000000000000000000L) { DIGITS_18 (100000000000000000L); }
-  else                               { DIGITS_19 (1000000000000000000L); }
-#endif /* SIZEOF_LONG != 4 */
+#else
+  /* wgint is 64 bits long -- make sure to process all the digits. */
+  else if (n < C10000000000)         { DIGITS_10 (1000000000); }
+  else if (n < C100000000000)        { DIGITS_11 (C10000000000); }
+  else if (n < C1000000000000)       { DIGITS_12 (C100000000000); }
+  else if (n < C10000000000000)      { DIGITS_13 (C1000000000000); }
+  else if (n < C100000000000000)     { DIGITS_14 (C10000000000000); }
+  else if (n < C1000000000000000)    { DIGITS_15 (C100000000000000); }
+  else if (n < C10000000000000000)   { DIGITS_16 (C1000000000000000); }
+  else if (n < C100000000000000000)  { DIGITS_17 (C10000000000000000); }
+  else if (n < C1000000000000000000) { DIGITS_18 (C100000000000000000); }
+  else                               { DIGITS_19 (C1000000000000000000); }
+#endif
  
    *p = '\0';
  
    *p = '\0';
-#endif /* (SIZEOF_LONG == 4) || (SIZEOF_LONG == 8) */
+#endif /* (SIZEOF_WGINT == 4) || (SIZEOF_WGINT == 8) */
  
    return p;
  }
  
    return p;
  }
@@ -1513,6 +1462,50 @@ number_to_string (char *buffer, long number)
  #undef DIGITS_17
  #undef DIGITS_18
  #undef DIGITS_19
  #undef DIGITS_17
  #undef DIGITS_18
  #undef DIGITS_19
+
+#define RING_SIZE 3
+
+/* Print NUMBER to a statically allocated string and return a pointer
+   to the printed representation.
+
+   This function is intended to be used in conjunction with printf.
+   It is hard to portably print wgint values:
+    a) you cannot use printf("%ld", number) because wgint can be long
+       long on 32-bit machines with LFS.
+    b) you cannot use printf("%lld", number) because NUMBER could be
+       long on 32-bit machines without LFS, or on 64-bit machines,
+       which do not require LFS.  Also, Windows doesn't support %lld.
+    c) you cannot use printf("%j", (int_max_t) number) because not all
+       versions of printf support "%j", the most notable being the one
+       on Windows.
+    d) you cannot #define WGINT_FMT to the appropriate format and use
+       printf(WGINT_FMT, number) because that would break translations
+       for user-visible messages, such as printf("Downloaded: %d
+       bytes\n", number).
+
+   What you should use instead is printf("%s", number_to_static_string
+   (number)).
+
+   CAVEAT: since the function returns pointers to static data, you
+   must be careful to copy its result before calling it again.
+   However, to make it more useful with printf, the function maintains
+   an internal ring of static buffers to return.  That way things like
+   printf("%s %s", number_to_static_string (num1),
+   number_to_static_string (num2)) work as expected.  Three buffers
+   are currently used, which means that "%s %s %s" will work, but "%s
+   %s %s %s" won't.  If you need to print more than three wgints,
+   bump the RING_SIZE (or rethink your message.)  */
+
+char *
+number_to_static_string (wgint number)
+{
+  static char ring[RING_SIZE][24];
+  static int ringpos;
+  char *buf = ring[ringpos];
+  number_to_string (buf, number);
+  ringpos = (ringpos + 1) % RING_SIZE;
+  return buf;
+}
  \f
  /* Support for timers. */
  
  \f
  /* Support for timers. */
  
@@ -1553,6 +1546,9 @@ typedef ULARGE_INTEGER wget_sys_time;
  #endif
  
  struct wget_timer {
  #endif
  
  struct wget_timer {
+  /* Whether the start time has been initialized. */
+  int initialized;
+
    /* The starting point in time which, subtracted from the current
       time, yields elapsed time. */
    wget_sys_time start;
    /* The starting point in time which, subtracted from the current
       time, yields elapsed time. */
    wget_sys_time start;
@@ -1566,14 +1562,15 @@ struct wget_timer {
    double elapsed_pre_start;
  };
  
    double elapsed_pre_start;
  };
  
-/* Allocate a timer.  It is not legal to do anything with a freshly
-   allocated timer, except call wtimer_reset() or wtimer_delete().  */
+/* Allocate a timer.  Calling wtimer_read on the timer will return
+   zero.  It is not legal to call wtimer_update with a freshly
+   allocated timer -- use wtimer_reset first.  */
  
  struct wget_timer *
  wtimer_allocate (void)
  {
  
  struct wget_timer *
  wtimer_allocate (void)
  {
-  struct wget_timer *wt =
-    (struct wget_timer *)xmalloc (sizeof (struct wget_timer));
+  struct wget_timer *wt = xnew (struct wget_timer);
+  xzero (*wt);
    return wt;
  }
  
    return wt;
  }
  
@@ -1631,8 +1628,11 @@ wtimer_sys_set (wget_sys_time *wst)
  }
  
  /* Reset timer WT.  This establishes the starting point from which
  }
  
  /* Reset timer WT.  This establishes the starting point from which
-   wtimer_elapsed() will return the number of elapsed
-   milliseconds.  It is allowed to reset a previously used timer.  */
+   wtimer_elapsed() will return the number of elapsed milliseconds.
+   It is allowed to reset a previously used timer.
+
+   If a non-zero value is used as START, the timer's values will be
+   offset by START.  */
  
  void
  wtimer_reset (struct wget_timer *wt)
  
  void
  wtimer_reset (struct wget_timer *wt)
@@ -1641,6 +1641,7 @@ wtimer_reset (struct wget_timer *wt)
    wtimer_sys_set (&wt->start);
    wt->elapsed_last = 0;
    wt->elapsed_pre_start = 0;
    wtimer_sys_set (&wt->start);
    wt->elapsed_last = 0;
    wt->elapsed_pre_start = 0;
+  wt->initialized = 1;
  }
  
  static double
  }
  
  static double
@@ -1663,17 +1664,22 @@ wtimer_sys_diff (wget_sys_time *wst1, wget_sys_time *wst2)
  #endif
  }
  
  #endif
  }
  
-/* Return the number of milliseconds elapsed since the timer was last
-   reset.  It is allowed to call this function more than once to get
-   increasingly higher elapsed values.  These timers handle clock
-   skew.  */
+/* Update the timer's elapsed interval.  This function causes the
+   timer to call gettimeofday (or time(), etc.) to update its idea of
+   current time.  To get the elapsed interval in milliseconds, use
+   wtimer_read.
  
  
-double
-wtimer_elapsed (struct wget_timer *wt)
+   This function handles clock skew, i.e. time that moves backwards is
+   ignored.  */
+
+void
+wtimer_update (struct wget_timer *wt)
  {
    wget_sys_time now;
    double elapsed;
  
  {
    wget_sys_time now;
    double elapsed;
  
+  assert (wt->initialized != 0);
+
    wtimer_sys_set (&now);
    elapsed = wt->elapsed_pre_start + wtimer_sys_diff (&now, &wt->start);
  
    wtimer_sys_set (&now);
    elapsed = wt->elapsed_pre_start + wtimer_sys_diff (&now, &wt->start);
  
@@ -1698,7 +1704,22 @@ wtimer_elapsed (struct wget_timer *wt)
      }
  
    wt->elapsed_last = elapsed;
      }
  
    wt->elapsed_last = elapsed;
-  return elapsed;
+}
+
+/* Return the elapsed time in milliseconds between the last call to
+   wtimer_reset and the last call to wtimer_update.
+
+   A typical use of the timer interface would be:
+
+       struct wtimer *timer = wtimer_new ();
+       ... do something that takes a while ...
+       wtimer_update ();
+       double msecs = wtimer_read ();  */
+
+double
+wtimer_read (const struct wget_timer *wt)
+{
+  return wt->elapsed_last;
  }
  
  /* Return the assessed granularity of the timer implementation, in
  }
  
  /* Return the assessed granularity of the timer implementation, in
@@ -1810,9 +1831,7 @@ determine_screen_width (void)
  {
    /* If there's a way to get the terminal size using POSIX
       tcgetattr(), somebody please tell me.  */
  {
    /* If there's a way to get the terminal size using POSIX
       tcgetattr(), somebody please tell me.  */
-#ifndef TIOCGWINSZ
-  return 0;
-#else  /* TIOCGWINSZ */
+#ifdef TIOCGWINSZ
    int fd;
    struct winsize wsz;
  
    int fd;
    struct winsize wsz;
  
@@ -1824,7 +1843,16 @@ determine_screen_width (void)
      return 0;                  /* most likely ENOTTY */
  
    return wsz.ws_col;
      return 0;                  /* most likely ENOTTY */
  
    return wsz.ws_col;
-#endif /* TIOCGWINSZ */
+#else  /* not TIOCGWINSZ */
+# ifdef WINDOWS
+  CONSOLE_SCREEN_BUFFER_INFO csbi;
+  if (!GetConsoleScreenBufferInfo (GetStdHandle (STD_ERROR_HANDLE), &csbi))
+    return 0;
+  return csbi.dwSize.X;
+# else /* neither WINDOWS nor TIOCGWINSZ */
+  return 0;
+#endif /* neither WINDOWS nor TIOCGWINSZ */
+#endif /* not TIOCGWINSZ */
  }
  
  /* Return a random number between 0 and MAX-1, inclusive.
  }
  
  /* Return a random number between 0 and MAX-1, inclusive.
@@ -1974,7 +2002,7 @@ alarm_set (double timeout)
  #ifdef ITIMER_REAL
    /* Use the modern itimer interface. */
    struct itimerval itv;
  #ifdef ITIMER_REAL
    /* Use the modern itimer interface. */
    struct itimerval itv;
-  memset (&itv, 0, sizeof (itv));
+  xzero (itv);
    itv.it_value.tv_sec = (long) timeout;
    itv.it_value.tv_usec = 1000000L * (timeout - (long)timeout);
    if (itv.it_value.tv_sec == 0 && itv.it_value.tv_usec == 0)
    itv.it_value.tv_sec = (long) timeout;
    itv.it_value.tv_usec = 1000000L * (timeout - (long)timeout);
    if (itv.it_value.tv_sec == 0 && itv.it_value.tv_usec == 0)
@@ -2002,7 +2030,7 @@ alarm_cancel (void)
  {
  #ifdef ITIMER_REAL
    struct itimerval disable;
  {
  #ifdef ITIMER_REAL
    struct itimerval disable;
-  memset (&disable, 0, sizeof (disable));
+  xzero (disable);
    setitimer (ITIMER_REAL, &disable, NULL);
  #else  /* not ITIMER_REAL */
    alarm (0);
    setitimer (ITIMER_REAL, &disable, NULL);
  #else  /* not ITIMER_REAL */
    alarm (0);
@@ -2081,3 +2109,54 @@ run_with_timeout (double timeout, void (*fun) (void *), void *arg)
  }
  #endif /* not WINDOWS */
  #endif /* not USE_SIGNAL_TIMEOUT */
  }
  #endif /* not WINDOWS */
  #endif /* not USE_SIGNAL_TIMEOUT */
+\f
+#ifndef WINDOWS
+
+/* Sleep the specified amount of seconds.  On machines without
+   nanosleep(), this may sleep shorter if interrupted by signals.  */
+
+void
+xsleep (double seconds)
+{
+#ifdef HAVE_NANOSLEEP
+  /* nanosleep is the preferred interface because it offers high
+     accuracy and, more importantly, because it allows us to reliably
+     restart after having been interrupted by a signal such as
+     SIGWINCH.  */
+  struct timespec sleep, remaining;
+  sleep.tv_sec = (long) seconds;
+  sleep.tv_nsec = 1000000000L * (seconds - (long) seconds);
+  while (nanosleep (&sleep, &remaining) < 0 && errno == EINTR)
+    /* If nanosleep has been interrupted by a signal, adjust the
+       sleeping period and return to sleep.  */
+    sleep = remaining;
+#else  /* not HAVE_NANOSLEEP */
+#ifdef HAVE_USLEEP
+  /* If usleep is available, use it in preference to select.  */
+  if (seconds >= 1)
+    {
+      /* On some systems, usleep cannot handle values larger than
+        1,000,000.  If the period is larger than that, use sleep
+        first, then add usleep for subsecond accuracy.  */
+      sleep (seconds);
+      seconds -= (long) seconds;
+    }
+  usleep (seconds * 1000000L);
+#else  /* not HAVE_USLEEP */
+#ifdef HAVE_SELECT
+  struct timeval sleep;
+  sleep.tv_sec = (long) seconds;
+  sleep.tv_usec = 1000000L * (seconds - (long) seconds);
+  select (0, NULL, NULL, NULL, &sleep);
+  /* If select returns -1 and errno is EINTR, it means we were
+     interrupted by a signal.  But without knowing how long we've
+     actually slept, we can't return to sleep.  Using gettimeofday to
+     track sleeps is slow and unreliable due to clock skew.  */
+#else  /* not HAVE_SELECT */
+  sleep (seconds);
+#endif /* not HAVE_SELECT */
+#endif /* not HAVE_USLEEP */
+#endif /* not HAVE_NANOSLEEP */
+}
+
+#endif /* not WINDOWS */