src/EventSubscriber/Api/JsonDecodeSubscriber.php line 320

Open in your IDE?
  1. <?php
  3. namespace App\EventSubscriber\Api;
  5. use App\Controller\Api\AbstractApiController;
  6. use App\Helper\Api\Constants\Entity\Properties\CoreModule\File as PropertyNamesFile;
  7. use App\Helper\Api\Constants\FrontEnd\AbstractFrontEndParameterNames;
  8. use App\Helper\Api\JsonFormatter\Throwable\Formatter;
  9. use App\Helper\Api\Translator\ApiTranslator;
  10. use Exception;
  11. use Symfony\Component\Form\Util\ServerParams;
  12. use Symfony\Component\HttpFoundation\Exception\JsonException;
  13. use Symfony\Component\HttpFoundation\File\UploadedFile;
  14. use Symfony\Component\HttpFoundation\Request;
  15. use Symfony\Component\HttpFoundation\RequestStack;
  16. use Symfony\Component\HttpFoundation\Response;
  17. use Symfony\Component\HttpKernel\Event\ControllerEvent;
  18. use Symfony\Component\HttpKernel\Exception\HttpException;
  19. use Symfony\Component\HttpKernel\KernelEvents;
  21. /**
  22.  * Subscriber for kernel controller event to decode JSON POST data to array values.
  23.  *
  24.  * @package API
  25.  * @internal
  26.  */
  27. class JsonDecodeSubscriber extends AbstractSubscriber
  28. {
  30.     /**
  31.      * ServerParams instance to test for exceeding the post_max_size from PHP ini.
  32.      *
  33.      * @var ServerParams
  34.      */
  35.     private ServerParams $serverParams;
  37.     /**
  38.      * Pre-parsed uploaded files from multipart form data.
  39.      *
  40.      * @var array
  41.      */
  42.     public array $files = [];
  44.     /**
  45.      * Pre-parsed inputs from multipart form data.
  46.      *
  47.      * @var array
  48.      */
  49.     public array $inputs = [];
  51.     /**
  52.      * Returns an array of event names this subscriber wants to listen to.
  53.      *
  54.      * The array keys are event names and the value can be:
  55.      *
  56.      *  * The method name to call (priority defaults to 0)
  57.      *  * An array composed of the method name to call and the priority
  58.      *  * An array of arrays composed of the method names to call and respective
  59.      *    priorities, or 0 if unset
  60.      *
  61.      * For instance:
  62.      *
  63.      *  * ['eventName' => 'methodName']
  64.      *  * ['eventName' => ['methodName', $priority]]
  65.      *  * ['eventName' => [['methodName1', $priority], ['methodName2']]]
  66.      *
  67.      * The code must not depend on runtime state as it will only be called at compile time.
  68.      * All logic depending on runtime state must be put into the individual methods handling the events.
  69.      *
  70.      * @noinspection PhpArrayShapeAttributeCanBeAddedInspection
  71.      * @noinspection PhpUnused
  72.      */
  73.     public static function getSubscribedEvents(): array
  74.     {
  75.         return [
  76.             KernelEvents::CONTROLLER => [
  77.                 ['jsonDecode'8]
  78.             ]
  79.         ];
  80.     }
  82.     /**
  83.      * Constructor.
  84.      *
  85.      * @param Formatter $formatter
  86.      * @param ApiTranslator $translator
  87.      * @param RequestStack $requestStack
  88.      */
  89.     public function __construct(Formatter $formatterApiTranslator $translatorRequestStack $requestStack)
  90.     {
  91.         parent::__construct($formatter$translator);
  92.         // create ServerParams instance because it is no Symfony service class
  93.         $this->serverParams = new ServerParams($requestStack);
  94.     }
  96.     /**
  97.      * Returns an array with file information based on the given uploaded file.
  98.      *
  99.      * @param UploadedFile $file
  100.      * @return array
  101.      */
  102.     protected function parseFile(UploadedFile $file): array
  103.     {
  104.         return [
  105.             PropertyNamesFile::NAME => $file->getClientOriginalName(),
  106.             PropertyNamesFile::MIME_TYPE => $file->getClientMimeType(),
  107.             PropertyNamesFile::EXTENSION => $file->getClientOriginalExtension(),
  108.             PropertyNamesFile::SIZE => $file->getSize(),
  109.             PropertyNamesFile::OBJECT => $file
  110.         ];
  111.     }
  113.     /**
  114.      * Decode JSON data to associative array and replace the request body with it.
  115.      *
  116.      * @param Request $request Request containing the data.
  117.      * @return void
  118.      */
  119.     protected function parseJson(Request $request): void
  120.     {
  121.         try {
  122.             $jsonData json_decode(
  123.                 $request->getContent(),
  124.                 true,
  125.                 512,
  126.                 JSON_THROW_ON_ERROR
  127.             );
  128.         } catch (Exception) {
  129.             throw new JsonException('Invalid JSON.');
  130.         }
  131.         $request->request->replace(is_array($jsonData) ? $jsonData : array());
  132.     }
  134.     /**
  135.      * For requests using multipart/form-data for sending JSON data alongside files to upload, decode JSON data to
  136.      * associative array, replace the request body with it and append the uploaded files to the body.
  137.      *
  138.      * @param Request $request Request containing the data.
  139.      * @return void
  140.      */
  141.     protected function parseMultipartFormData(Request $request): void
  142.     {
  143.         try {
  144.             $jsonData json_decode(
  145.                 $request->request->get(AbstractFrontEndParameterNames::JSON_DATA),
  146.                 true,
  147.                 512,
  148.                 JSON_THROW_ON_ERROR
  149.             );
  150.         } catch (Exception) {
  151.             throw new JsonException('Invalid JSON.');
  152.         }
  153.         $request->request->remove(AbstractFrontEndParameterNames::JSON_DATA);
  154.         $request->request->add($jsonData);
  155.         foreach ($request->files as $parameterName => $fileData) {
  156.             if (is_array($fileData)) {
  157.                 $files = [];
  158.                 foreach ($fileData as $file) {
  159.                     /* @var UploadedFile $file */
  160.                     $files[] = $this->parseFile($file);
  161.                 }
  162.                 $request->request->add([$parameterName => $files]);
  163.             } else {
  164.                 /* @var UploadedFile $fileData */
  165.                 $request->request->add([
  166.                     $parameterName => $this->parseFile($fileData)
  167.                 ]);
  168.             }
  169.         }
  170.     }
  172.     /**
  173.      * Parses the content of the part from the request content separated by the boundary string.
  174.      *
  175.      * @param array $parsedPartHeaders The parsed headers from the part of the request content.
  176.      * @param string $rawPartContent The raw content from the part of the request content.
  177.      * @return void
  178.      */
  179.     protected function parseRawPartContent(array $parsedPartHeadersstring $rawPartContent): void
  180.     {
  181.         // remove final CRLF
  182.         $rawPartContent substr($rawPartContent0strlen($rawPartContent) - 2);
  183.         // get field name and optional the original file name on the client side from the content disposition header
  184.         preg_match(
  185.             '/^form-data; name="([^"]+)"(; filename="([^"]+)")?/',
  186.             $parsedPartHeaders['content-disposition'],
  187.             $matches
  188.         );
  189.         $fieldName trim(trim($matches[1], ']'), '[');
  190.         $fileName $matches[3] ?? null;
  191.         // handle data and files separately
  192.         if (is_null($fileName)) {
  193.             // append data to the local input list, leave the content raw, because we parse JSON later
  194.             $this->inputs array_merge($this->inputs, [$fieldName => $rawPartContent]);
  195.         } else {
  196.             // store temporary file and append to local files list
  197.             $file $this->storeTmpFile($fileName$parsedPartHeaders['content-type'], $rawPartContent);
  198.             if (isset($this->files[$fieldName])) {
  199.                 $this->files[$fieldName][] = $file;
  200.             } else {
  201.                 $this->files[$fieldName] = [$file];
  202.             }
  203.         }
  204.     }
  206.     /**
  207.      * Parses the headers of the part from the request content separated by the boundary string.
  208.      *
  209.      * @param string $rawPartHeaders The raw headers from the part of the request content.
  210.      * @return array The parsed headers from the part of the request content.
  211.      */
  212.     protected function parseRawPartHeaders(string $rawPartHeaders): array
  213.     {
  214.         $parsedPartHeaders = [];
  215.         // headers are separated by CRLF
  216.         $partHeaders explode("\r\n"$rawPartHeaders);
  217.         foreach ($partHeaders as $header) {
  218.             // header name and value are separated by a colon followed by a blank
  219.             [$name$value] = explode(': '$header2);
  220.             // normalize case of header name
  221.             $parsedPartHeaders[strtolower($name)] = $value;
  222.         }
  224.         return $parsedPartHeaders;
  225.     }
  227.     /**
  228.      * Processes a part of the request content separated by the boundary string.
  229.      *
  230.      * @param string $contentPart A part of the request content.
  231.      * @return void
  232.      */
  233.     protected function processContentParts(string $contentPart): void
  234.     {
  235.         // remove initial CRLF
  236.         $contentPart ltrim($contentPart"\r\n");
  237.         // separate part headers from part content by (first) double CRLF
  238.         [$rawPartHeaders$rawPartContent] = explode("\r\n\r\n"$contentPart2);
  239.         $parsedPartHeaders $this->parseRawPartHeaders($rawPartHeaders);
  240.         if (isset($parsedPartHeaders['content-disposition'])) {
  241.             $this->parseRawPartContent($parsedPartHeaders$rawPartContent);
  242.         } else {
  243.             // we only accept content parts with a content disposition header in this workaround
  244.             throw new HttpException(Response::HTTP_BAD_REQUEST'Content disposition header not present');
  245.         }
  246.     }
  248.     /**
  249.      * Parse the multipart form data and populate the local input and file properties.
  250.      *
  251.      * @param string $content The request content.
  252.      * @return void
  253.      */
  254.     protected function requestParseBody(string $content): void
  255.     {
  256.         // search initial CRLF to identify the boundary string
  257.         $firstCrlfPosition strpos($content"\r\n");
  258.         // if found, identify string before as boundary string
  259.         $boundary $firstCrlfPosition substr($content0$firstCrlfPosition) : null;
  261.         if (is_null($boundary)) {
  262.             // we only accept multipart form data with boundary strings in this workaround
  263.             throw new HttpException(Response::HTTP_BAD_REQUEST'Multipart boundary not identified');
  264.         }
  265.         // split content at the boundaries
  266.         $parts explode($boundary$content);
  267.         // remove empty parts or closing string --CRLF
  268.         $parts array_filter($parts, function (string $part): bool {
  269.             return mb_strlen($part) > && $part !== "--\r\n";
  270.         });
  271.         foreach ($parts as $part) {
  272.             $this->processContentParts($part);
  273.         }
  274.     }
  276.     /**
  277.      * Stores given file data as temporary file and returns an UploadedFile instance.
  278.      *
  279.      * @param string $originalFileName The original file name on the client side.
  280.      * @param string $mimeType The MIME type of the file.
  281.      * @param string $fileData The file data as string.
  282.      * @return UploadedFile UploadedFile instance containing the temporary file reference.
  283.      */
  284.     protected function storeTmpFile(string $originalFileNamestring $mimeTypestring $fileData): UploadedFile
  285.     {
  286.         // create temporary file name in the system tmp directory
  287.         $tmpFilePath tempnam(sys_get_temp_dir(), '');
  288.         // write file data to temporary file
  289.         file_put_contents($tmpFilePath$fileData);
  290.         // remove temporary file after processing
  291.         register_shutdown_function(function () use ($tmpFilePath): void {
  292.             if (file_exists($tmpFilePath)) {
  293.                 unlink($tmpFilePath);
  294.             }
  295.         });
  297.         return new UploadedFile(
  298.             $tmpFilePath,
  299.             $originalFileName,
  300.             $mimeType,
  301.             UPLOAD_ERR_OK,
  302.             true
  303.         /**
  304.          * Set this to true, otherwise PHP considers file as not uploaded by HTTP
  305.          *
  306.          * @see UploadedFile::isValid()
  307.          * @see is_uploaded_file()
  308.          */
  309.         );
  310.     }
  312.     /**
  313.      * Decodes JSON to array in request content.
  314.      *
  315.      * Allows to query for parameters with {@link Request::get()}.
  316.      *
  317.      * @throws JsonException when invalid JSON was sent
  318.      * @noinspection PhpUnused
  319.      */
  320.     public function jsonDecode(ControllerEvent $event): void
  321.     {
  322.         $controller $event->getController();
  323.         // when a controller class defines multiple action methods, the controller
  324.         // is returned as [$controllerInstance, 'methodName']
  325.         if (is_array($controller)) {
  326.             $controller $controller[0];
  327.         }
  328.         // limit to API controllers
  329.         if (!$controller instanceof AbstractApiController) {
  330.             return;
  331.         }
  332.         // Exceeding the post_max_size from PHP ini results probably just in a warning and lead to empty
  333.         // content arrays without further notice. Use built in Symfony detection method to ensure raising a proper
  334.         // error message to the client.
  335.         // See https://github.com/symfony/symfony/issues/19311
  336.         if ($this->serverParams->hasPostMaxSizeBeenExceeded()) {
  337.             throw new HttpException(
  338.                 Response::HTTP_REQUEST_ENTITY_TOO_LARGE,
  339.                 'PHP post max size has been exceeded',
  340.             );
  341.         }
  342.         $request $event->getRequest();
  343.         // do nothing on unhandled contents
  344.         if (
  345.             ($request->getContentType() !== 'json' || !$request->getContent()) &&
  346.             $request->getContentType() !== 'form'
  347.         ) {
  348.             return;
  349.         }
  350.         if ($request->getContentType() === 'json') {
  351.             $this->parseJson($request);
  353.             return;
  354.         }
  355.         if ($request->getContentType() === 'form') {
  356.             /**
  357.              * TODO
  358.              * PHP pre 8.4 ignores files and input data from HTTP PUT requests when using content type
  359.              * multipart/form-data and doesn't populate the respective super globals. Since we decided
  360.              * a) to use this content type for update requests including uploaded files and
  361.              * b) to use HTTP PUT to update a specific ressource to provide a REST API
  362.              * we need some workaround until we upgrade to PHP 8.4.
  363.              *
  364.              * Possible workarounds:
  365.              * - use POST in these cases instead of PUT, but this will break the pattern to use PUT on updates in
  366.              *   general (discarded, front end would need to change)
  367.              * - use the PECL extension apfd, but there could be issues building the extension on some local dev systems
  368.              * - parse the multipart form data for our use case, but this is not completely reliable and efficient
  369.              *
  370.              * @link https://bugs.php.net/bug.php?id=55815
  371.              * @link https://wiki.php.net/rfc/rfc1867-non-post
  372.              * @link https://pecl.php.net/package/apfd
  373.              *
  374.              * So we parse the multipart form data for ourselves as temporary workaround if we're still using
  375.              * PHP < 8.4 and the apdf extension is not installed in case of an HTTP PUT request.
  376.              */
  377.             if ($request->getMethod() === Request::METHOD_PUT && !in_array('apfd'get_loaded_extensions())) {
  378.                 // using the content as a string could be problematic for big files, but acceptable for now
  379.                 // until we move to PHP 8.4 and apdf is not available, big files are also prevented by PHP ini
  380.                 // setting post_max_size
  381.                 $this->requestParseBody($request->getContent());
  382.                 // copy the parsed data to the request bags
  383.                 $request->request->replace($this->inputs);
  384.                 $request->files->replace($this->files);
  385.             }
  386.             $this->parseMultipartFormData($request);
  387.         }
  388.     }
  390. }