#!/usr/bin/perl
 
-#man{{{
-
 =head1 NAME
 
 mr - a Multiple Repository management tool
 
 =head1 SYNOPSIS
-/
+
 B<mr> [options] checkout
 
 B<mr> [options] update
 
 B<mr> [options] record [-m "message"]
 
+B<mr> [options] push
+
 B<mr> [options] diff
 
 B<mr> [options] log
 
+B<mr> [options] run command [param ...]
+
+B<mr> [options] bootstrap url [directory]
+
 B<mr> [options] register [repository]
 
 B<mr> [options] config section ["parameter=[value]" ...]
 
 B<mr> is a Multiple Repository management tool. It can checkout, update, or
 perform other actions on a set of repositories as if they were one combined
-repository. It supports any combination of subversion, git, cvs, mecurial,
-bzr and darcs repositories, and support for other revision control systems can
-easily be added.
+repository. It supports any combination of subversion, git, cvs, mercurial,
+bzr, darcs and fossil repositories, and support for other revision
+control systems can easily be added.
 
 B<mr> cds into and operates on all registered repositories at or below your
 working directory. Or, if you are in a subdirectory of a repository that
 contains no other registered repositories, it will stay in that directory,
 and work on only that repository,
 
+B<mr> is configured by .mrconfig files, which list the repositories. It
+starts by reading the .mrconfig file in your home directory, and this can
+in turn chain load .mrconfig files from repositories. It also automatically
+looks for a .mrconfig file in the current directory, or in one of its
+parent directories.
+
 These predefined commands should be fairly familiar to users of any revision
 control system:
 
 
 Show the commit log.
 
+=item run command [param ...]
+
+Runs the specified command in each repository.
+
 =back
 
 These commands are also available:
 
 =over 4
 
+=item bootstrap url [directory]
+
+Causes mr to download the url, and use it as a .mrconfig file
+to checkout the repositories listed in it, into the specified directory.
+
+The directory will be created if it does not exist. If no directory is
+specified, the current directory will be used.
+
+If the .mrconfig file includes a repository named ".", that
+is checked out into the top of the specified directory.
+
 =item list (or ls)
 
 List the repositories that mr will act on.
 directory to register.
 
 The mrconfig file that is modified is chosen by either the -c option, or by
-looking for the closest known one at or below the current directory.
+looking for the closest known one at or in a parent of the current directory.
 
 =item config
 
 
   mr config DEFAULT lib
 
-The ~/.mrconfig file is used by default. To use a different config file,
-use the -c option.
+The mrconfig file that is used is chosen by either the -c option, or by
+looking for the closest known one at or in a parent of the current directory.
 
 =item offline
 
 
 =item -d directory
 
+=item --directory directory
+
 Specifies the topmost directory that B<mr> should work in. The default is
 the current working directory.
 
 =item -c mrconfig
 
-Use the specified mrconfig file. The default is B<~/.mrconfig>
+=item --config mrconfig
+
+Use the specified mrconfig file. The default is to use both B<~/.mrconfig>
+as well as look for a .mrconfig file in the current directory, or in one
+of its parent directories.
 
 =item -v
 
+=item --verbose
+
 Be verbose.
 
 =item -q
 
-Be quiet.
+=item --quiet
+
+Be quiet. This supresses mr's usual output, as well as any output from
+commands that are run (including stderr output). If a command fails,
+the output will be shown.
+
+=item -k
+
+=item --insecure
+
+Accept untrusted SSL certificates when bootstrapping.
 
 =item -s
 
+=item --stats
+
 Expand the statistics line displayed at the end to include information
 about exactly which repositories failed and were skipped, if any.
 
 =item -i
 
+=item --interactive
+
 Interactive mode. If a repository fails to be processed, a subshell will be
 started which you can use to resolve or investigate the problem. Exit the
 subshell to continue the mr run.
 
 =item -n [number]
 
+=item --no-recurse [number]
+
 If no number if specified, just operate on the repository for the current
 directory, do not recurse into deeper repositories.
 
 
 =item -j [number]
 
+=item --jobs [number]
+
 Run the specified number of jobs in parallel, or an unlimited number of jobs
 with no number specified. This can greatly speed up operations such as updates.
 It is not recommended for interactive operations.
 
 Note that running more than 10 jobs at a time is likely to run afoul of
-ssh connection limits. Running between 3 and 5 jobs at a time will yeild
+ssh connection limits. Running between 3 and 5 jobs at a time will yield
 a good speedup in updates without loading the machine too much.
 
-=back
+=item -t
 
-=head1 FILES
+=item --trust-all
 
-The ~/.mrlog file contains commands that mr has remembered to run later,
-due to being offline. You can delete or edit this file to remove commands,
-or even to add other commands for 'mr online' to run. If the file is
-present, mr assumes it is in offline mode.
+Trust all mrconfig files even if they are not listed in ~/.mrtrust.
+Use with caution.
 
-B<mr> is configured by .mrconfig files. It starts by reading the .mrconfig
-file in your home directory, and this can in turn chain load .mrconfig files
-from repositories.
+=item -p
+
+=item --path
+
+This obsolete flag is ignored.
+
+=back
+
+=head1 MRCONFIG FILES
 
 Here is an example .mrconfig file:
 
   [src]
-  checkout = svn co svn://svn.example.com/src/trunk src
+  checkout = svn checkout svn://svn.example.com/src/trunk src
   chain = true
 
   [src/linux-2.6]
 
 Within a section, each parameter defines a shell command to run to handle a
 given action. mr contains default handlers for "update", "status",
-"commit", and other standard actions. Normally you only need to specify what
-to do for "checkout".
+"commit", and other standard actions.
+
+Normally you only need to specify what to do for "checkout". Here you
+specify the command to run in order to create a checkout of the repository.
+The command will be run in the parent directory, and must create the
+repository's directory. So use "git clone", "svn checkout", "bzr branch"
+or "bzr checkout" (for a bound branch), etc.
 
 Note that these shell commands are run in a "set -e" shell
 environment, where any additional parameters you pass are available in
-"$@". The "checkout" command is run in the parent of the repository
-directory, since the repository isn't checked out yet. All other commands
-are run inside the repository, though not necessarily at the top of it.
+"$@". All commands other than "checkout" are run inside the repository,
+though not necessarily at the top of it.
 
 The "MR_REPO" environment variable is set to the path to the top of the
 repository. (For the "register" action, "MR_REPO" is instead set to the 
 =item chain
 
 If the "chain" parameter is set and its command returns true, then B<mr>
-will try to load a .mrconfig file from the root of the repository. (You
-should avoid chaining from repositories with untrusted committers.)
+will try to load a .mrconfig file from the root of the repository.
 
 =item include
 
 Unlike all other parameters, this parameter does not need to be placed
 within a section.
 
+=item deleted
+
+If the "deleted" parameter is set and its command returns true, then
+B<mr> will treat the repository as deleted. It won't ever actually delete
+the repository, but it will warn if it sees the repository's directory.
+This is useful when one mrconfig file is shared amoung multiple machines,
+to keep track of and remember to delete old repositories.
+
 =item lib
 
 The "lib" parameter can specify some shell code that will be run before each
 command, this can be a useful way to define shell functions for other commands
 to use.
 
+=item fixups
+
+If the "fixups" parameter is set, its command is run whenever a repository
+is checked out, or updated. This provides an easy way to do things
+like permissions fixups, or other tweaks to the repository content,
+whenever the repository is changed.
+
+=item pre_ and post_
+
+If a "pre_action" parameter is set, its command is run before mr performs the
+specified action. Similarly, "post_action" parameters are run after mr
+successfully performs the specified action. For example, "pre_commit" is
+run before committing; "post_update" is run after updating.
+
 =back
 
 When looking for a command to run for a given action, mr first looks for
 override these rcs specific actions. To add a new revision control system,
 you can just add rcs specific actions for it.
 
+=head1 UNTRUSTED MRCONFIG FILES
+
+Since mrconfig files can contain arbitrary shell commands, they can do
+anything. This flexibility is good, but it also allows a malicious mrconfig
+file to delete your whole home directory. Such a file might be contained
+inside a repository that your main ~/.mrconfig checks out. To
+avoid worries about evil commands in a mrconfig file, mr defaults to
+reading all mrconfig files other than the main ~/.mrconfig in untrusted
+mode. In untrusted mode, mrconfig files are limited to running only known
+safe commands (like "git clone") in a carefully checked manner.
+
+To configure mr to trust other mrconfig files, list them in ~/.mrtrust.
+One mrconfig file should be listed per line. Either the full pathname
+should be listed, or the pathname can start with "~/" to specify a file
+relative to your home directory.
+
+=head1 OFFLINE LOG FILE
+
+The ~/.mrlog file contains commands that mr has remembered to run later,
+due to being offline. You can delete or edit this file to remove commands,
+or even to add other commands for 'mr online' to run. If the file is
+present, mr assumes it is in offline mode.
+
+=head1 EXTENSIONS
+
+mr can be extended to support things such as unison and git-svn. Some
+files providing such extensions are available in /usr/share/mr/. See
+the documentation in the files for details about using them.
+
+=head1 EXIT STATUS
+
+mr returns nonzero if a command failed in any of the repositories.
+
 =head1 AUTHOR
 
-Copyright 2007 Joey Hess <joey@kitenet.net>
+Copyright 2007-2011 Joey Hess <joey@kitenet.net>
 
 Licensed under the GNU GPL version 2 or higher.
 
 
 =cut
 
-#}}}
-
 use warnings;
 use strict;
 use Getopt::Long;
 my $verbose=0;
 my $quiet=0;
 my $stats=0;
+my $insecure=0;
 my $interactive=0;
 my $max_depth;
 my $no_chdir=0;
 my $jobs=1;
+my $trust_all=0;
 my $directory=getcwd();
-$ENV{MR_CONFIG}="$ENV{HOME}/.mrconfig";
+
+$ENV{MR_CONFIG}=find_mrconfig();
 
 # globals :-(
 my %config;
 main();
 
 my %rcs;
-sub rcs_test { #{{{
+sub rcs_test {
        my ($action, $dir, $topdir, $subdir) = @_;
 
        if (exists $rcs{$dir}) {
        chomp $rcs;
        if ($rcs=~/\n/s) {
                $rcs=~s/\n/, /g;
-               print STDERR "mr $action: found multiple possible repository types ($rcs) for $topdir$subdir\n";
+               print STDERR "mr $action: found multiple possible repository types ($rcs) for ".fulldir($topdir, $subdir)."\n";
                return undef;
        }
        if (! length $rcs) {
        else {
                return $rcs{$dir}=$rcs;
        }
-} #}}}
+}
        
-sub findcommand { #{{{
+sub findcommand {
        my ($action, $dir, $topdir, $subdir, $is_checkout) = @_;
        
        if (exists $config{$topdir}{$subdir}{$action}) {
        else {
                return undef;
        }
-} #}}}
+}
 
-sub action { #{{{
-       my ($action, $dir, $topdir, $subdir) = @_;
+sub fulldir {
+       my ($topdir, $subdir) = @_;
+       return $subdir =~ /^\// ? $subdir : $topdir.$subdir;
+}
+
+sub action {
+       my ($action, $dir, $topdir, $subdir, $force_checkout) = @_;
+       my $fulldir=fulldir($topdir, $subdir);
 
        $ENV{MR_CONFIG}=$configfiles{$topdir};
        my $lib=exists $config{$topdir}{$subdir}{lib} ?
                       $config{$topdir}{$subdir}{lib}."\n" : "";
        my $is_checkout=($action eq 'checkout');
+       my $is_update=($action =~ /update/);
 
        $ENV{MR_REPO}=$dir;
+       
+       foreach my $testname ("skip", "deleted") {
+               my $testcommand=findcommand($testname, $dir, $topdir, $subdir, $is_checkout);
+
+               if (defined $testcommand) {
+                       my $test="set -e;".$lib.
+                               "my_action(){ $testcommand\n }; my_action '$action'";
+                       print "mr $action: running $testname test >>$test<<\n" if $verbose;
+                       my $ret=system($test);
+                       if ($ret != 0) {
+                               if (($? & 127) == 2) {
+                                       print STDERR "mr $action: interrupted\n";
+                                       return ABORT;
+                               }
+                               elsif ($? & 127) {
+                                       print STDERR "mr $action: $testname test received signal ".($? & 127)."\n";
+                                       return ABORT;
+                               }
+                       }
+                       if ($ret >> 8 == 0) {
+                               if ($testname eq "deleted") {
+                                       if (-d $dir) {
+                                               print STDERR "mr error: $dir should be deleted yet still exists\n";
+                                               return FAILED;
+                                       }
+                               }
+                               print "mr $action: skip $dir skipped\n" if $verbose;
+                               return SKIPPED;
+                       }
+               }
+       }
 
        if ($is_checkout) {
-               if (-d $dir) {
-                       print "mr $action: $dir already exists, skipping checkout\n" if $verbose;
-                       return SKIPPED;
+               if (! $force_checkout) {
+                       if (-d $dir) {
+                               print "mr $action: $dir already exists, skipping checkout\n" if $verbose;
+                               return SKIPPED;
+                       }
+       
+                       $dir=~s/^(.*)\/[^\/]+\/?$/$1/;
                }
-
-               $dir=~s/^(.*)\/[^\/]+\/?$/$1/;
        }
-       elsif ($action =~ /update/) {
+       elsif ($is_update) {
                if (! -d $dir) {
                        return action("checkout", $dir, $topdir, $subdir);
                }
        }
 
-       my $skiptest=findcommand("skip", $dir, $topdir, $subdir, $is_checkout);
        my $command=findcommand($action, $dir, $topdir, $subdir, $is_checkout);
 
-       if (defined $skiptest) {
-               my $test="set -e;".$lib.
-                       "my_action(){ $skiptest\n }; my_action '$action'";
-               print "mr $action: running skip test >>$test<<\n" if $verbose;
-               my $ret=system($test);
-               if ($ret != 0) {
-                       if (($? & 127) == 2) {
-                               print STDERR "mr $action: interrupted\n";
-                               return ABORT;
-                       }
-                       elsif ($? & 127) {
-                               print STDERR "mr $action: skip test received signal ".($? & 127)."\n";
-                               return ABORT;
-                       }
-               }
-               if ($ret >> 8 == 0) {
-                       print "mr $action: $dir skipped per config file\n" if $verbose;
-                       return SKIPPED;
-               }
-       }
-
        if ($is_checkout && ! -d $dir) {
                print "mr $action: creating parent directory $dir\n" if $verbose;
                system("mkdir", "-p", $dir);
        elsif (! defined $command) {
                my $rcs=rcs_test(@_);
                if (! defined $rcs) {
-                       print STDERR "mr $action: unknown repository type and no defined $action command for $topdir$subdir\n";
+                       print STDERR "mr $action: unknown repository type and no defined $action command for $fulldir\n";
                        return FAILED;
                }
                else {
-                       print STDERR "mr $action: no defined action for $rcs repository $topdir$subdir, skipping\n";
+                       print STDERR "mr $action: no defined action for $rcs repository $fulldir, skipping\n";
                        return SKIPPED;
                }
        }
        else {
+               my $actionmsg;
                if (! $no_chdir) {
-                       print "mr $action: $topdir$subdir\n" unless $quiet;
+                       $actionmsg="mr $action: $fulldir";
                }
                else {
                        my $s=$directory;
-                       $s=~s/^\Q$topdir$subdir\E\/?//;
-                       print "mr $action: $topdir$subdir (in subdir $s)\n" unless $quiet;
+                       $s=~s/^\Q$fulldir\E\/?//;
+                       $actionmsg="mr $action: $fulldir (in subdir $s)";
                }
+               print "$actionmsg\n" unless $quiet;
+
+               my $hookret=hook("pre_$action", $topdir, $subdir);
+               return $hookret if $hookret != OK;
+
                $command="set -e; ".$lib.
                        "my_action(){ $command\n }; my_action ".
-                       join(" ", map { s/\//\/\//g; s/"/\"/g; '"'.$_.'"' } @ARGV);
+                       join(" ", map { s/\\/\\\\/g; s/"/\"/g; '"'.$_.'"' } @ARGV);
                print "mr $action: running >>$command<<\n" if $verbose;
-               my $ret=system($command);
+               my $ret;
+               if ($quiet) {
+                       my $output = qx/$command 2>&1/;
+                       $ret = $?;
+                       if ($ret != 0) {
+                               print "$actionmsg\n";
+                               print STDERR $output;
+                       }
+               }
+               else {
+                       $ret=system($command);
+               }
                if ($ret != 0) {
                        if (($? & 127) == 2) {
                                print STDERR "mr $action: interrupted\n";
                                if (-e "$ENV{HOME}/.mrlog" && $action ne 'remember') {
                                        # recreate original command line to
                                        # remember, and avoid recursing
-                                       @ARGV=('-n', $action, @ARGV);
+                                       my @orig=@ARGV;
+                                       @ARGV=('-n', $action, @orig);
                                        action("remember", $dir, $topdir, $subdir);
+                                       @ARGV=@orig;
                                }
                        }
                        elsif ($ret != 0) {
                        return FAILED;
                }
                else {
-                       if ($action eq 'checkout' && ! -d $dir) {
+                       if ($is_checkout && ! -d $dir) {
                                print STDERR "mr $action: $dir missing after checkout\n";;
                                return FAILED;
                        }
 
+                       my $ret=hook("post_$action", $topdir, $subdir);
+                       return $ret if $ret != OK;
+                       
+                       if (($is_checkout || $is_update)) {
+                               my $ret=hook("fixups", $topdir, $subdir);
+                               return $ret if $ret != OK;
+                       }
+                       
                        return OK;
                }
        }
-} #}}}
+}
+
+sub hook {
+       my ($hook, $topdir, $subdir) = @_;
+
+       my $command=$config{$topdir}{$subdir}{$hook};
+       return OK unless defined $command;
+       my $lib=exists $config{$topdir}{$subdir}{lib} ?
+                      $config{$topdir}{$subdir}{lib}."\n" : "";
+       my $shell="set -e;".$lib.
+               "my_hook(){ $command\n }; my_hook";
+       print "mr $hook: running >>$shell<<\n" if $verbose;
+       my $ret;
+       if ($quiet) {
+               my $output = qx/$shell 2>&1/;
+               $ret = $?;
+               if ($ret != 0) {
+                       print STDERR $output;
+               }
+       }
+       else {
+               $ret=system($shell);
+       }
+       if ($ret != 0) {
+               if (($? & 127) == 2) {
+                       print STDERR "mr $hook: interrupted\n";
+                       return ABORT;
+               }
+               elsif ($? & 127) {
+                       print STDERR "mr $hook: received signal ".($? & 127)."\n";
+                       return ABORT;
+               }
+       }
+
+       return OK;
+}
 
 # run actions on multiple repos, in parallel
-sub mrs { #{{{
+sub mrs {
        my $action=shift;
        my @repos=@_;
 
                        }
                }
        }
-} #}}}
+}
 
-sub record { #{{{
+sub record {
        my $dir=shift()->[0];
        my $ret=shift;
 
        if ($ret == OK) {
                push @ok, $dir;
-               print "\n";
+               print "\n" unless $quiet;
        }
        elsif ($ret == FAILED) {
                if ($interactive) {
                        chdir($dir) unless $no_chdir;
                        print STDERR "mr: Starting interactive shell. Exit shell to continue.\n";
-                       system((getpwuid($<))[8]);
+                       system((getpwuid($<))[8], "-i");
                }
                push @failed, $dir;
-               print "\n";
+               print "\n" unless $quiet;
        }
        elsif ($ret == SKIPPED) {
                push @skipped, $dir;
        else {
                die "unknown exit status $ret";
        }
-} #}}}
+}
 
-sub showstats { #{{{
+sub showstats {
        my $action=shift;
        if (! @ok && ! @failed && ! @skipped) {
                die "mr $action: no repositories found to work on\n";
                        print STDERR "mr $action: (failed: ".join(" ", @failed).")\n";
                }
        }
-} #}}}
+}
 
-sub showstat { #{{{
+sub showstat {
        my $count=shift;
        my $singular=shift;
        my $plural=shift;
                return "$count ".($count > 1 ? $plural : $singular);
        }
        return;
-} #}}}
+}
 
 # an ordered list of repos
-sub repolist { #{{{
+sub repolist {
        my @list;
        foreach my $topdir (sort keys %config) {
                foreach my $subdir (sort keys %{$config{$topdir}}) {
                             ||
                $a->{subdir} cmp $b->{subdir}
        } @list;
-} #}}}
+}
+
+sub repodir {
+       my $repo=shift;
+       my $topdir=$repo->{topdir};
+       my $subdir=$repo->{subdir};
+       my $ret=($subdir =~/^\//) ? $subdir : $topdir.$subdir;
+       $ret=~s/\/\.$//;
+       return $ret;
+}
 
 # figure out which repos to act on
-sub selectrepos { #{{{
+sub selectrepos {
        my @repos;
        foreach my $repo (repolist()) {
                my $topdir=$repo->{topdir};
                my $subdir=$repo->{subdir};
 
                next if $subdir eq 'DEFAULT';
-               my $dir=($subdir =~/^\//) ? $subdir : $topdir.$subdir;
+               my $dir=repodir($repo);
                my $d=$directory;
                $dir.="/" unless $dir=~/\/$/;
                $d.="/" unless $d=~/\/$/;
                        my $subdir=$repo->{subdir};
                        
                        next if $subdir eq 'DEFAULT';
-                       my $dir=($subdir =~/^\//) ? $subdir : $topdir.$subdir;
+                       my $dir=repodir($repo);
                        my $d=$directory;
                        $dir.="/" unless $dir=~/\/$/;
                        $d.="/" unless $d=~/\/$/;
                $no_chdir=1;
        }
        return @repos;
-} #}}}
+}
 
-sub expandenv { #{{{
+sub expandenv {
        my $val=shift;
        
 
        }
        
        return $val;
-} #}}}
+}
+
+my %trusted;
+sub is_trusted_config {
+       my $config=shift; # must be abs_pathed already
+
+       # We always trust ~/.mrconfig.
+       return 1 if $config eq abs_path("$ENV{HOME}/.mrconfig");
+
+       return 1 if $trust_all;
+
+       my $trustfile=$ENV{HOME}."/.mrtrust";
+
+       if (! %trusted) {
+               $trusted{"$ENV{HOME}/.mrconfig"}=1;
+               if (open (TRUST, "<", $trustfile)) {
+                       while (<TRUST>) {
+                               chomp;
+                               s/^~\//$ENV{HOME}\//;
+                               $trusted{abs_path($_)}=1;
+                       }
+                       close TRUST;
+               }
+       }
+
+       return $trusted{$config};
+}
+
+
+sub is_trusted_repo {
+       my $repo=shift;
+       
+       # Tightly limit what is allowed in a repo name.
+       # No ../, no absolute paths, and no unusual filenames
+       # that might try to escape to the shell.
+       return $repo =~ /^[-_.+\/A-Za-z0-9]+$/ &&
+              $repo !~ /\.\./ && $repo !~ /^\//;
+}
+
+sub is_trusted_checkout {
+       my $command=shift;
+       
+       # To determine if the command is safe, compare it with the
+       # *_trusted_checkout config settings. Those settings are
+       # templates for allowed commands, so make sure that each word
+       # of the command matches the corresponding word of the template.
+       
+       my @words;
+       foreach my $word (split(' ', $command)) {
+               # strip quoting
+               if ($word=~/^'(.*)'$/) {
+                       $word=$1;
+               }
+               elsif ($word=~/^"(.*)"$/) {
+                       $word=$1;
+               }
+
+               push @words, $word;
+       }
+
+       foreach my $key (grep { /_trusted_checkout$/ }
+                        keys %{$config{''}{DEFAULT}}) {
+               my @twords=split(' ', $config{''}{DEFAULT}{$key});
+               next if @words > @twords;
+
+               my $match=1;
+               my $url;
+               for (my $c=0; $c < @twords && $match; $c++) {
+                       if ($twords[$c] eq '$url') {
+                               # Match all the typical characters found in
+                               # urls, plus @ which svn can use. Note
+                               # that the "url" might also be a local
+                               # directory.
+                               $match=(
+                                       defined $words[$c] &&
+                                       $words[$c] =~ /^[-_.+:@\/A-Za-z0-9]+$/
+                               );
+                               $url=$words[$c];
+                       }
+                       elsif ($twords[$c] eq '$repo') {
+                               # If a repo is not specified, assume it
+                               # will be the last path component of the
+                               # url, or something derived from it, and
+                               # check that.
+                               if (! defined $words[$c] && defined $url) {
+                                       ($words[$c])=$url=~/\/([^\/]+)\/?$/;
+                               }
+
+                               $match=(
+                                       defined $words[$c] &&
+                                       is_trusted_repo($words[$c])
+                               );
+                       }
+                       elsif (defined $words[$c] && $words[$c]=~/^($twords[$c])$/) {
+                               $match=1;
+                       }
+                       else {
+                               $match=0;
+                       }
+               }
+               return 1 if $match;
+       }
+
+       return 0;
+}
+
+sub trusterror {
+       my ($err, $file, $line, $url)=@_;
+       
+       if (defined $url) {
+               die "$err in untrusted $url line $line\n".
+                       "(To trust this url, --trust-all can be used; but please use caution;\n".
+                       "this can allow arbitrary code execution!)\n";
+       }
+       else {
+               die "$err in untrusted $file line $line\n".
+                       "(To trust this file, list it in ~/.mrtrust.)\n";
+       }
+}
 
 my %loaded;
-sub loadconfig { #{{{
+sub loadconfig {
        my $f=shift;
+       my $dir=shift;
+       my $bootstrap_url=shift;
 
        my @toload;
 
        my $in;
-       my $dir;
+       my $trusted;
        if (ref $f eq 'GLOB') {
                $dir="";
-               $in=$f; 
+               $in=$f;
+               $trusted=1;
        }
        else {
-               if (! -e $f) {
-                       return;
-               }
-
                my $absf=abs_path($f);
                if ($loaded{$absf}) {
                        return;
                }
                $loaded{$absf}=1;
 
-               ($dir)=$f=~/^(.*\/)[^\/]+$/;
+               $trusted=is_trusted_config($absf);
+
                if (! defined $dir) {
-                       $dir=".";
+                       ($dir)=$f=~/^(.*\/)[^\/]+$/;
+                       if (! defined $dir) {
+                               $dir=".";
+                       }
                }
+
                $dir=abs_path($dir)."/";
                
                if (! exists $configfiles{$dir}) {
                        }
                }
                
+               if (! -e $f) {
+                       return;
+               }
+
                print "mr: loading config $f\n" if $verbose;
                open($in, "<", $f) || die "mr: open $f: $!\n";
        }
        my @lines=<$in>;
-       close $in;
+       close $in unless ref $f eq 'GLOB';
 
        my $section;
        my $line=0;
                chomp;
                next if /^\s*\#/ || /^\s*$/;
                if (/^\[([^\]]*)\]\s*$/) {
-                       $section=expandenv($1);
+                       $section=$1;
+
+                       if (! $trusted) {
+                               if (! is_trusted_repo($section) ||
+                                   $section eq 'ALIAS' ||
+                                   $section eq 'DEFAULT') {
+                                       trusterror("mr: illegal section \"[$section]\"", $f, $line, $bootstrap_url)
+                               }
+                       }
+                       $section=expandenv($section) if $trusted;
+                       if ($section ne 'ALIAS' &&
+                           ! exists $config{$dir}{$section} &&
+                           exists $config{$dir}{DEFAULT}) {
+                               # copy in defaults
+                               $config{$dir}{$section}={ %{$config{$dir}{DEFAULT}} };
+                       }
                }
                elsif (/^(\w+)\s*=\s*(.*)/) {
                        my $parameter=$1;
                                chomp $value;
                        }
 
+                       if (! $trusted) {
+                               # Untrusted files can only contain a few
+                               # settings in specific known-safe formats.
+                               if ($parameter eq 'checkout') {
+                                       if (! is_trusted_checkout($value)) {
+                                               trusterror("mr: illegal checkout command \"$value\"", $f, $line, $bootstrap_url);
+                                       }
+                               }
+                               elsif ($parameter eq 'order') {
+                                       # not interpreted as a command, so
+                                       # safe.
+                               }
+                               elsif ($value eq 'true' || $value eq 'false') {
+                                       # skip=true , deleted=true etc are
+                                       # safe.
+                               }
+                               else {
+                                       trusterror("mr: illegal setting \"$parameter=$value\"", $f, $line, $bootstrap_url);
+                               }
+                       }
+
                        if ($parameter eq "include") {
                                print "mr: including output of \"$value\"\n" if $verbose;
                                unshift @lines, `$value`;
+                               if ($?) {
+                                       print STDERR "mr: include command exited nonzero ($?)\n";
+                               }
                                next;
                        }
 
                        if (! defined $section) {
                                die "$f line $.: parameter ($parameter) not in section\n";
                        }
-                       if ($section ne 'ALIAS' &&
-                           ! exists $config{$dir}{$section} &&
-                           exists $config{$dir}{DEFAULT}) {
-                               # copy in defaults
-                               $config{$dir}{$section}={ %{$config{$dir}{DEFAULT}} };
-                       }
                        if ($section eq 'ALIAS') {
                                $alias{$parameter}=$value;
                        }
        foreach (@toload) {
                loadconfig($_);
        }
-} #}}}
+}
+
+sub startingconfig {
+       %alias=%config=%configfiles=%knownactions=%loaded=();
+       my $datapos=tell(DATA);
+       loadconfig(\*DATA);
+       seek(DATA,$datapos,0); # rewind
+}
 
-sub modifyconfig { #{{{
+sub modifyconfig {
        my $f=shift;
        # the section to modify or add
        my $targetsection=shift;
        open(my $out, ">", $f) || die "mr: write $f: $!\n";
        print $out @out;
        close $out;     
-} #}}}
+}
 
-sub dispatch { #{{{
+sub dispatch {
        my $action=shift;
 
        # actions that do not operate on all repos
        elsif ($action eq 'register') {
                register(@ARGV);
        }
+       elsif ($action eq 'bootstrap') {
+               bootstrap();
+       }
        elsif ($action eq 'remember' ||
               $action eq 'offline' ||
               $action eq 'online') {
                        record($repo, action($action, @$repo));
                }
        }
-} #}}}
+}
 
-sub help { #{{{
+sub help {
        exec($config{''}{DEFAULT}{help}) || die "exec: $!";
-} #}}}
+}
 
-sub config { #{{{
+sub config {
        if (@_ < 2) {
                die "mr config: not enough parameters\n";
        }
        }
        modifyconfig($ENV{MR_CONFIG}, $section, %changefields) if %changefields;
        exit 0;
-} #}}}
+}
 
-sub register { #{{{
+sub register {
        if ($config_overridden) {
                # Find the directory that the specified config file is
                # located in.
        $ENV{MR_REPO}=~s/.*\/(.*)/$1/;
        $command="set -e; ".$config{$directory}{DEFAULT}{lib}."\n".
                "my_action(){ $command\n }; my_action ".
-               join(" ", map { s/\//\/\//g; s/"/\"/g; '"'.$_.'"' } @ARGV);
+               join(" ", map { s/\\/\\\\/g; s/"/\"/g; '"'.$_.'"' } @ARGV);
        print "mr register: running >>$command<<\n" if $verbose;
        exec($command) || die "exec: $!";
-} #}}}
+}
+
+sub bootstrap {
+       my $url=shift @ARGV;
+       my $dir=shift @ARGV || ".";
+       
+       if (! defined $url || ! length $url) {
+               die "mr: bootstrap requires url\n";
+       }
+       
+       # Download the config file to a temporary location.
+       eval q{use File::Temp};
+       die $@ if $@;
+       my $tmpconfig=File::Temp->new();
+       my @curlargs = ("curl", "-A", "mr", "-L", "-s", $url, "-o", $tmpconfig);
+       push(@curlargs, "-k") if $insecure;
+       my $curlstatus = system(@curlargs);
+       die "mr bootstrap: invalid SSL certificate for $url (consider -k)\n" if $curlstatus >> 8 == 60;
+       die "mr bootstrap: download of $url failed\n" if $curlstatus != 0;
+
+       if (! -e $dir) {
+               system("mkdir", "-p", $dir);
+       }
+       chdir($dir) || die "chdir $dir: $!";
+
+       # Special case to handle checkout of the "." repo, which 
+       # would normally be skipped.
+       my $topdir=abs_path(".")."/";
+       my @repo=($topdir, $topdir, ".");
+       loadconfig($tmpconfig, $topdir, $url);
+       record(\@repo, action("checkout", @repo, 1))
+               if exists $config{$topdir}{"."}{"checkout"};
+
+       if (-e ".mrconfig") {
+               print STDERR "mr bootstrap: .mrconfig file already exists, not overwriting with $url\n";
+       }
+       else {
+               eval q{use File::Copy};
+               die $@ if $@;
+               move($tmpconfig, ".mrconfig") || die "rename: $!";
+       }
+
+       # Reload the config file (in case we got a different version)
+       # and checkout everything else.
+       startingconfig();
+       loadconfig(".mrconfig");
+       dispatch("checkout");
+       @skipped=grep { abs_path($_) ne abs_path($topdir) } @skipped;
+       showstats("bootstrap");
+       exitstats();
+}
 
 # alias expansion and command stemming
-sub expandaction { #{{{
+sub expandaction {
        my $action=shift;
        if (exists $alias{$action}) {
                $action=$alias{$action};
                }
        }
        return $action;
-} #}}}
+}
+
+sub find_mrconfig {
+       my $dir=getcwd();
+       while (length $dir) {
+               if (-e "$dir/.mrconfig") {
+                       return "$dir/.mrconfig";
+               }
+               $dir=~s/\/[^\/]*$//;
+       }
+       return "$ENV{HOME}/.mrconfig";
+}
 
-sub getopts { #{{{
+sub getopts {
        my @saved=@ARGV;
        Getopt::Long::Configure("bundling", "no_permute");
        my $result=GetOptions(
                "d|directory=s" => sub { $directory=abs_path($_[1]) },
                "c|config=s" => sub { $ENV{MR_CONFIG}=$_[1]; $config_overridden=1 },
+               "p|path" => sub { }, # now default, ignore
                "v|verbose" => \$verbose,
                "q|quiet" => \$quiet,
                "s|stats" => \$stats,
+               "k|insecure" => \$insecure,
                "i|interactive" => \$interactive,
                "n|no-recurse:i" => \$max_depth,
                "j|jobs:i" => \$jobs,
+               "t|trust-all" => \$trust_all,
        );
        if (! $result || @ARGV < 1) {
-               die("Usage: mr [-d directory] action [params ...]\n".
+               die("Usage: mr [options] action [params ...]\n".
                    "(Use mr help for man page.)\n");
        }
        
                last if $option eq $ARGV[0];
                $ENV{MR_SWITCHES}.="$option ";
        }
-} #}}}
+}
 
-sub init { #{{{
+sub init {
        $SIG{INT}=sub {
                print STDERR "mr: interrupted\n";
                exit 2;
                use FindBin qw($Bin $Script);
                $ENV{MR_PATH}=$Bin."/".$Script;
        };
-} #}}}
+}
+       
+sub exitstats {
+       if (@failed) {
+               exit 1;
+       }
+       else {
+               exit 0;
+       }
+}
 
-sub main { #{{{
+sub main {
        getopts();
        init();
 
-       loadconfig(\*DATA);
+       startingconfig();
+       loadconfig("$ENV{HOME}/.mrconfig");
        loadconfig($ENV{MR_CONFIG});
        #use Data::Dumper; print Dumper(\%config);
        
        my $action=expandaction(shift @ARGV);
        dispatch($action);
-       showstats($action);
 
-       if (@failed) {
-               exit 1;
-       }
-       elsif (! @ok && @skipped) {
-               exit 1;
-       }
-       else {
-               exit 0;
-       }
-} #}}}
+       showstats($action);
+       exitstats();
+}
 
 # Finally, some useful actions that mr knows about by default.
 # These can be overridden in ~/.mrconfig.
-#DATA{{{
 __DATA__
 [ALIAS]
 co = checkout
                if [ -z "$1" ] || [ -z "$2" ]; then
                        error "mr: usage: hours_since action num"
                fi
-               for dir in .git .svn .bzr CVS .hg _darcs; do
+               for dir in .git .svn .bzr CVS .hg _darcs _FOSSIL_; do
                        if [ -e "$MR_REPO/$dir" ]; then
                                flagfile="$MR_REPO/$dir/.mr_last$1"
                                break
                fi
                delta=`perl -wle 'print -f shift() ? int((-M _) * 24) : 9999' "$flagfile"`
                if [ "$delta" -lt "$2" ]; then
-                       exit 0
+                       return 1
                else
                        touch "$flagfile"
-                       exit 1
+                       return 0
                fi
        }
+       is_bzr_checkout() {
+               LANG=C bzr info | egrep -q '^Checkout'
+       }
 
 svn_test = test -d "$MR_REPO"/.svn
 git_test = test -d "$MR_REPO"/.git
 cvs_test = test -d "$MR_REPO"/CVS
 hg_test  = test -d "$MR_REPO"/.hg
 darcs_test = test -d "$MR_REPO"/_darcs
+fossil_test = test -f "$MR_REPO"/_FOSSIL_
 git_bare_test =
        test -d "$MR_REPO"/refs/heads && test -d "$MR_REPO"/refs/tags &&
        test -d "$MR_REPO"/objects && test -f "$MR_REPO"/config &&
 
 svn_update = svn update "$@"
 git_update = git pull "$@"
-bzr_update = bzr merge "$@"
+bzr_update = 
+       if is_bzr_checkout; then
+               bzr update "$@"
+       else
+               bzr merge --pull "$@"
+       fi
 cvs_update = cvs update "$@"
 hg_update  = hg pull "$@" && hg update "$@"
 darcs_update = darcs pull -a "$@"
+fossil_update = fossil pull "$@"
 
 svn_status = svn status "$@"
-git_status = git status "$@" || true
-bzr_status = bzr status "$@"
+git_status = git status -s "$@" || true
+bzr_status = bzr status --short "$@"
 cvs_status = cvs status "$@"
 hg_status  = hg status "$@"
 darcs_status = darcs whatsnew -ls "$@" || true
+fossil_status = fossil changes "$@"
 
 svn_commit = svn commit "$@"
 git_commit = git commit -a "$@" && git push --all
-bzr_commit = bzr commit "$@" && bzr push
+bzr_commit = 
+       if is_bzr_checkout; then
+               bzr commit "$@"
+       else
+               bzr commit "$@" && bzr push
+       fi
 cvs_commit = cvs commit "$@"
 hg_commit  = hg commit -m "$@" && hg push
 darcs_commit = darcs record -a -m "$@" && darcs push -a
+fossil_commit = fossil commit "$@"
 
 git_record = git commit -a "$@"
-bzr_record = bzr commit "$@"
+bzr_record =
+       if is_bzr_checkout; then
+               bzr commit --local "$@"
+       else
+               bzr commit "$@"
+       fi
 hg_record  = hg commit -m "$@"
 darcs_record = darcs record -a -m "$@"
+fossil_record = fossil commit "$@"
 
 svn_push = :
 git_push = git push "$@"
 bzr_push = bzr push "$@"
 cvs_push = :
 hg_push = hg push "$@"
-darcs_push = darcs push -a
+darcs_push = darcs push -a "$@"
+fossil_push = fossil push "$@"
 
 svn_diff = svn diff "$@"
 git_diff = git diff "$@"
 cvs_diff = cvs diff "$@"
 hg_diff  = hg diff "$@"
 darcs_diff = darcs diff -u "$@"
+fossil_diff = fossil diff "$@"
 
 svn_log = svn log "$@"
 git_log = git log "$@"
 hg_log  = hg log "$@"
 darcs_log = darcs changes "$@"
 git_bare_log = git log "$@"
+fossil_log = fossil timeline "$@"
+
+run = "$@"
 
 svn_register =
        url=`LC_ALL=C svn info . | grep -i '^URL:' | cut -d ' ' -f 2`
                error "cannot determine bzr url"
        fi
        echo "Registering bzr url: $url in $MR_CONFIG"
-       mr -c "$MR_CONFIG" config "`pwd`" checkout="bzr clone '$url' '$MR_REPO'"
+       mr -c "$MR_CONFIG" config "`pwd`" checkout="bzr branch '$url' '$MR_REPO'"
 cvs_register =
        repo=`cat CVS/Repository`
        root=`cat CVS/Root`
        fi
        echo "Registering git url: $url in $MR_CONFIG"
        mr -c "$MR_CONFIG" config "`pwd`" checkout="git clone --bare '$url' '$MR_REPO'"
+fossil_register =
+       url=`fossil remote-url`
+       repo=`fossil info | grep repository | sed -e 's/repository:*.//g' -e 's/ //g'`
+       echo "Registering fossil repository $url in $MR_CONFIG"
+       mr -c "$MR_CONFIG" config "`pwd`" checkout="mkdir -p '$MR_REPO' && cd '$MR_REPO' && fossil open '$repo'"
+
+svn_trusted_checkout = svn co $url $repo
+svn_alt_trusted_checkout = svn checkout $url $repo
+git_trusted_checkout = git clone $url $repo
+bzr_trusted_checkout = bzr checkout|clone|branch|get $url $repo
+# cvs: too hard
+hg_trusted_checkout = hg clone $url $repo
+darcs_trusted_checkout = darcs get $url $repo
+git_bare_trusted_checkout = git clone --bare $url $repo
+# fossil: messy to do
+
 
 help =
+       case `uname -s` in
+               SunOS)
+               SHOWMANFILE="man -f"
+               ;;
+               Darwin)
+               SHOWMANFILE="man"
+               ;;
+               *)
+               SHOWMANFILE="man -l"
+               ;;
+       esac
        if [ ! -e "$MR_PATH" ]; then
                error "cannot find program path"
        fi
        tmp=$(mktemp -t mr.XXXXXXXXXX) || error "mktemp failed"
        trap "rm -f $tmp" exit
        pod2man -c mr "$MR_PATH" > "$tmp" || error "pod2man failed"
-       man -l "$tmp" || error "man failed"
+       $SHOWMANFILE "$tmp" || error "man failed"
 list = true
 config = 
+bootstrap = 
 
 online =
        if [ -s ~/.mrlog ]; then
                info "no offline commands to run"
        fi
 offline =
+       umask 077
        touch ~/.mrlog
        info "offline mode enabled"
 remember =
 ed = echo "A horse is a horse, of course, of course.."
 T = echo "I pity the fool."
 right = echo "Not found."
-#}}}
 
 # vim:sw=8:sts=0:ts=8:noet