SECURITY: Always exit when LOG_PANIC_DIE is set

[exim.git] / src / src / parse.c
diff --git a/src/src/parse.c b/src/src/parse.c

index ff814e738b6217b3f6207350c6c7fecead9a64ae..e0470c86f51236265d9ba67b671e420c34b77112 100644 (file)
--- a/src/src/parse.c
+++ b/src/src/parse.c
@@ -2,7 +2,8 @@
  *     Exim - an Internet mail transport agent    *
  *************************************************/
  
  *     Exim - an Internet mail transport agent    *
  *************************************************/
  
-/* Copyright (c) University of Cambridge 1995 - 2009 */
+/* Copyright (c) University of Cambridge 1995 - 2018 */
+/* Copyright (c) The Exim Maintainers 2020 */
  /* See the file NOTICE for conditions of use and distribution. */
  
  /* Functions for parsing addresses */
  /* See the file NOTICE for conditions of use and distribution. */
  
  /* Functions for parsing addresses */
@@ -11,7 +12,7 @@
  #include "exim.h"
  
  
  #include "exim.h"
  
  
-static uschar *last_comment_position;
+static const uschar *last_comment_position;
  
  
  
  
  
  
@@ -23,7 +24,7 @@ redundant apparatus. */
  
  address_item *deliver_make_addr(uschar *address, BOOL copy)
  {
  
  address_item *deliver_make_addr(uschar *address, BOOL copy)
  {
-address_item *addr = store_get(sizeof(address_item));
+address_item *addr = store_get(sizeof(address_item), FALSE);
  addr->next = NULL;
  addr->parent = NULL;
  addr->address = address;
  addr->next = NULL;
  addr->parent = NULL;
  addr->address = address;
@@ -142,21 +143,21 @@ Argument:  pointer to an address, possibly unqualified
  Returns:   pointer to the last @ in an address, or NULL if none
  */
  
  Returns:   pointer to the last @ in an address, or NULL if none
  */
  
-uschar *
-parse_find_at(uschar *s)
+const uschar *
+parse_find_at(const uschar *s)
  {
  {
-uschar *t = s + Ustrlen(s);
+const uschar * t = s + Ustrlen(s);
  while (--t >= s)
  while (--t >= s)
-  {
    if (*t == '@')
      {
      int backslash_count = 0;
    if (*t == '@')
      {
      int backslash_count = 0;
-    uschar *tt = t - 1;
+    const uschar *tt = t - 1;
      while (tt > s && *tt-- == '\\') backslash_count++;
      if ((backslash_count & 1) == 0) return t;
      }
      while (tt > s && *tt-- == '\\') backslash_count++;
      if ((backslash_count & 1) == 0) return t;
      }
-  else if (*t == '\"') return NULL;
-  }
+  else if (*t == '\"')
+    return NULL;
+
  return NULL;
  }
  
  return NULL;
  }
  
@@ -187,20 +188,20 @@ The start of the last potential comment position is remembered to
  make it possible to ignore comments at the end of compound items.
  
  Argument: current character pointer
  make it possible to ignore comments at the end of compound items.
  
  Argument: current character pointer
-Regurns:  new character pointer
+Returns:  new character pointer
  */
  
  */
  
-static uschar *
-skip_comment(uschar *s)
+static const uschar *
+skip_comment(const uschar *s)
  {
  last_comment_position = s;
  while (*s)
    {
    int c, level;
  {
  last_comment_position = s;
  while (*s)
    {
    int c, level;
-  while (isspace(*s)) s++;
-  if (*s != '(') break;
+
+  if (Uskip_whitespace(&s) != '(') break;
    level = 1;
    level = 1;
-  while((c = *(++s)) != 0)
+  while((c = *(++s)))
      {
      if (c == '(') level++;
      else if (c == ')') { if (--level <= 0) { s++; break; } }
      {
      if (c == '(') level++;
      else if (c == ')') { if (--level <= 0) { s++; break; } }
@@ -231,8 +232,8 @@ Arguments:
  Returns:     new character pointer
  */
  
  Returns:     new character pointer
  */
  
-static uschar *
-read_domain(uschar *s, uschar *t, uschar **errorptr)
+static const uschar *
+read_domain(const uschar *s, uschar *t, uschar **errorptr)
  {
  uschar *tt = t;
  s = skip_comment(s);
  {
  uschar *tt = t;
  s = skip_comment(s);
@@ -405,8 +406,8 @@ Arguments:
  Returns:   new character pointer
  */
  
  Returns:   new character pointer
  */
  
-static uschar *
-read_local_part(uschar *s, uschar *t, uschar **error, BOOL allow_null)
+static const uschar *
+read_local_part(const uschar *s, uschar *t, uschar **error, BOOL allow_null)
  {
  uschar *tt = t;
  *error = NULL;
  {
  uschar *tt = t;
  *error = NULL;
@@ -421,10 +422,10 @@ for (;;)
    if (*s == '\"')
      {
      *t++ = '\"';
    if (*s == '\"')
      {
      *t++ = '\"';
-    while ((c = *(++s)) != 0 && c != '\"')
+    while ((c = *++s) && c != '\"')
        {
        *t++ = c;
        {
        *t++ = c;
-      if (c == '\\' && s[1] != 0) *t++ = *(++s);
+      if (c == '\\' && s[1]) *t++ = *++s;
        }
      if (c == '\"')
        {
        }
      if (c == '\"')
        {
@@ -443,7 +444,7 @@ for (;;)
    else while (!mac_iscntrl_or_special(*s) || *s == '\\')
      {
      c = *t++ = *s++;
    else while (!mac_iscntrl_or_special(*s) || *s == '\\')
      {
      c = *t++ = *s++;
-    if (c == '\\' && *s != 0) *t++ = *s++;
+    if (c == '\\' && *s) *t++ = *s++;
      }
  
    /* Terminate the word and skip subsequent comment */
      }
  
    /* Terminate the word and skip subsequent comment */
@@ -490,8 +491,8 @@ Arguments:
  Returns:     new character pointer
  */
  
  Returns:     new character pointer
  */
  
-static uschar *
-read_route(uschar *s, uschar *t, uschar **errorptr)
+static const uschar *
+read_route(const uschar *s, uschar *t, uschar **errorptr)
  {
  BOOL commas = FALSE;
  *errorptr = NULL;
  {
  BOOL commas = FALSE;
  *errorptr = NULL;
@@ -544,15 +545,13 @@ Arguments:
  Returns:     new character pointer
  */
  
  Returns:     new character pointer
  */
  
-static uschar *
-read_addr_spec(uschar *s, uschar *t, int term, uschar **errorptr,
+static const uschar *
+read_addr_spec(const uschar *s, uschar *t, int term, uschar **errorptr,
    uschar **domainptr)
  {
  s = read_local_part(s, t, errorptr, FALSE);
  if (*errorptr == NULL)
    uschar **domainptr)
  {
  s = read_local_part(s, t, errorptr, FALSE);
  if (*errorptr == NULL)
-  {
    if (*s != term)
    if (*s != term)
-    {
      if (*s != '@')
        *errorptr = string_sprintf("\"@\" or \".\" expected after \"%s\"", t);
      else
      if (*s != '@')
        *errorptr = string_sprintf("\"@\" or \".\" expected after \"%s\"", t);
      else
@@ -562,8 +561,6 @@ if (*errorptr == NULL)
        *domainptr = t;
        s = read_domain(s, t, errorptr);
        }
        *domainptr = t;
        s = read_domain(s, t, errorptr);
        }
-    }
-  }
  return s;
  }
  
  return s;
  }
  
@@ -619,13 +616,13 @@ Returns:      points to the extracted address, or NULL on error
  #define FAILED(s) { *errorptr = s; goto PARSE_FAILED; }
  
  uschar *
  #define FAILED(s) { *errorptr = s; goto PARSE_FAILED; }
  
  uschar *
-parse_extract_address(uschar *mailbox, uschar **errorptr, int *start, int *end,
+parse_extract_address(const uschar *mailbox, uschar **errorptr, int *start, int *end,
    int *domain, BOOL allow_null)
  {
    int *domain, BOOL allow_null)
  {
-uschar *yield = store_get(Ustrlen(mailbox) + 1);
-uschar *startptr, *endptr;
-uschar *s = (uschar *)mailbox;
-uschar *t = (uschar *)yield;
+uschar *yield = store_get(Ustrlen(mailbox) + 1, is_tainted(mailbox));
+const uschar *startptr, *endptr;
+const uschar *s = US mailbox;
+uschar *t = US yield;
  
  *domain = 0;
  
  
  *domain = 0;
  
@@ -642,7 +639,7 @@ RESTART:   /* Come back here after passing a group name */
  s = skip_comment(s);
  startptr = s;                                 /* In case addr-spec */
  s = read_local_part(s, t, errorptr, TRUE);    /* Dot separated words */
  s = skip_comment(s);
  startptr = s;                                 /* In case addr-spec */
  s = read_local_part(s, t, errorptr, TRUE);    /* Dot separated words */
-if (*errorptr != NULL) goto PARSE_FAILED;
+if (*errorptr) goto PARSE_FAILED;
  
  /* If the terminator is neither < nor @ then the format of the address
  must either be a bare local-part (we are now at the end), or a phrase
  
  /* If the terminator is neither < nor @ then the format of the address
  must either be a bare local-part (we are now at the end), or a phrase
@@ -662,10 +659,10 @@ if (*s != '@' && *s != '<')
    end of string will produce a null local_part and therefore fail. We don't
    need to keep updating t, as the phrase isn't to be kept. */
  
    end of string will produce a null local_part and therefore fail. We don't
    need to keep updating t, as the phrase isn't to be kept. */
  
-  while (*s != '<' && (!parse_allow_group || *s != ':'))
+  while (*s != '<' && (!f.parse_allow_group || *s != ':'))
      {
      s = read_local_part(s, t, errorptr, FALSE);
      {
      s = read_local_part(s, t, errorptr, FALSE);
-    if (*errorptr != NULL)
+    if (*errorptr)
        {
        *errorptr = string_sprintf("%s (expected word or \"<\")", *errorptr);
        goto PARSE_FAILED;
        {
        *errorptr = string_sprintf("%s (expected word or \"<\")", *errorptr);
        goto PARSE_FAILED;
@@ -674,8 +671,8 @@ if (*s != '@' && *s != '<')
  
    if (*s == ':')
      {
  
    if (*s == ':')
      {
-    parse_found_group = TRUE;
-    parse_allow_group = FALSE;
+    f.parse_found_group = TRUE;
+    f.parse_allow_group = FALSE;
      s++;
      goto RESTART;
      }
      s++;
      goto RESTART;
      }
@@ -690,8 +687,8 @@ processing it. Note that this is "if" rather than "else if" because it's also
  used after reading a preceding phrase.
  
  There are a lot of broken sendmails out there that put additional pairs of <>
  used after reading a preceding phrase.
  
  There are a lot of broken sendmails out there that put additional pairs of <>
-round <route-addr>s. If strip_excess_angle_brackets is set, allow any number of
-them, as long as they match. */
+round <route-addr>s.  If strip_excess_angle_brackets is set, allow a limited
+number of them, as long as they match. */
  
  if (*s == '<')
    {
  
  if (*s == '<')
    {
@@ -700,8 +697,11 @@ if (*s == '<')
    int bracket_count = 1;
  
    s++;
    int bracket_count = 1;
  
    s++;
-  if (strip_excess_angle_brackets)
-    while (*s == '<') { bracket_count++; s++; }
+  if (strip_excess_angle_brackets) while (*s == '<')
+   {
+   if(bracket_count++ > 5) FAILED(US"angle-brackets nested too deep");
+   s++;
+   }
  
    t = yield;
    startptr = s;
  
    t = yield;
    startptr = s;
@@ -715,7 +715,7 @@ if (*s == '<')
    if (*s == '@')
      {
      s = read_route(s, t, errorptr);
    if (*s == '@')
      {
      s = read_route(s, t, errorptr);
-    if (*errorptr != NULL) goto PARSE_FAILED;
+    if (*errorptr) goto PARSE_FAILED;
      *t = 0;                  /* Ensure route is ignored - probably overkill */
      source_routed = TRUE;
      }
      *t = 0;                  /* Ensure route is ignored - probably overkill */
      source_routed = TRUE;
      }
@@ -733,7 +733,7 @@ if (*s == '<')
    else
      {
      s = read_addr_spec(s, t, '>', errorptr, &domainptr);
    else
      {
      s = read_addr_spec(s, t, '>', errorptr, &domainptr);
-    if (*errorptr != NULL) goto PARSE_FAILED;
+    if (*errorptr) goto PARSE_FAILED;
      *domain = domainptr - yield;
      if (source_routed && *domain == 0)
        FAILED(US"domain missing in source-routed address");
      *domain = domainptr - yield;
      if (source_routed && *domain == 0)
        FAILED(US"domain missing in source-routed address");
@@ -743,9 +743,10 @@ if (*s == '<')
    if (*errorptr != NULL) goto PARSE_FAILED;
    while (bracket_count-- > 0) if (*s++ != '>')
      {
    if (*errorptr != NULL) goto PARSE_FAILED;
    while (bracket_count-- > 0) if (*s++ != '>')
      {
-    *errorptr = (s[-1] == 0)? US"'>' missing at end of address" :
-      string_sprintf("malformed address: %.32s may not follow %.*s",
-        s-1, s - (uschar *)mailbox - 1, mailbox);
+    *errorptr = s[-1] == 0
+      ? US"'>' missing at end of address"
+      : string_sprintf("malformed address: %.32s may not follow %.*s",
+         s-1, (int)(s - US mailbox - 1), mailbox);
      goto PARSE_FAILED;
      }
  
      goto PARSE_FAILED;
      }
  
@@ -790,44 +791,44 @@ move it back past white space if necessary. */
  PARSE_SUCCEEDED:
  if (*s != 0)
    {
  PARSE_SUCCEEDED:
  if (*s != 0)
    {
-  if (parse_found_group && *s == ';')
+  if (f.parse_found_group && *s == ';')
      {
      {
-    parse_found_group = FALSE;
-    parse_allow_group = TRUE;
+    f.parse_found_group = FALSE;
+    f.parse_allow_group = TRUE;
      }
    else
      {
      *errorptr = string_sprintf("malformed address: %.32s may not follow %.*s",
      }
    else
      {
      *errorptr = string_sprintf("malformed address: %.32s may not follow %.*s",
-      s, s - (uschar *)mailbox, mailbox);
+      s, (int)(s - US mailbox), mailbox);
      goto PARSE_FAILED;
      }
    }
      goto PARSE_FAILED;
      }
    }
-*start = startptr - (uschar *)mailbox;      /* Return offsets */
+*start = startptr - US mailbox;      /* Return offsets */
  while (isspace(endptr[-1])) endptr--;
  while (isspace(endptr[-1])) endptr--;
-*end = endptr - (uschar *)mailbox;
+*end = endptr - US mailbox;
  
  /* Although this code has no limitation on the length of address extracted,
  
  /* Although this code has no limitation on the length of address extracted,
-other parts of Exim may have limits, and in any case, RFC 2821 limits local
-parts to 64 and domains to 255, so we do a check here, giving an error if the
-address is ridiculously long. */
+other parts of Exim may have limits, and in any case, RFC 5321 limits email
+addresses to 256, so we do a check here, giving an error if the address is
+ridiculously long. */
  
  
-if (*end - *start > ADDRESS_MAXLENGTH)
+if (*end - *start > EXIM_EMAILADDR_MAX)
    {
    *errorptr = string_sprintf("address is ridiculously long: %.64s...", yield);
    return NULL;
    }
  
    {
    *errorptr = string_sprintf("address is ridiculously long: %.64s...", yield);
    return NULL;
    }
  
-return (uschar *)yield;
+return yield;
  
  /* Use goto (via the macro FAILED) to get to here from a variety of places.
  We might have an empty address in a group - the caller can choose to ignore
  this. We must, however, keep the flags correct. */
  
  PARSE_FAILED:
  
  /* Use goto (via the macro FAILED) to get to here from a variety of places.
  We might have an empty address in a group - the caller can choose to ignore
  this. We must, however, keep the flags correct. */
  
  PARSE_FAILED:
-if (parse_found_group && *s == ';')
+if (f.parse_found_group && *s == ';')
    {
    {
-  parse_found_group = FALSE;
-  parse_allow_group = TRUE;
+  f.parse_found_group = FALSE;
+  f.parse_allow_group = TRUE;
    }
  return NULL;
  }
    }
  return NULL;
  }
@@ -842,8 +843,7 @@ return NULL;
  
  /* This function is used for quoting text in headers according to RFC 2047.
  If the only characters that strictly need quoting are spaces, we return the
  
  /* This function is used for quoting text in headers according to RFC 2047.
  If the only characters that strictly need quoting are spaces, we return the
-original string, unmodified. If a quoted string is too long for the buffer, it
-is truncated. (This shouldn't happen: this is normally handling short strings.)
+original string, unmodified.
  
  Hmmph. As always, things get perverted for other uses. This function was
  originally for the "phrase" part of addresses. Now it is being used for much
  
  Hmmph. As always, things get perverted for other uses. This function was
  originally for the "phrase" part of addresses. Now it is being used for much
@@ -855,78 +855,62 @@ Arguments:
                   chars
    len          the length of the string
    charset      the name of the character set; NULL => iso-8859-1
                   chars
    len          the length of the string
    charset      the name of the character set; NULL => iso-8859-1
-  buffer       the buffer to put the answer in
-  buffer_size  the size of the buffer
    fold         if TRUE, a newline is inserted before the separating space when
                   more than one encoded-word is generated
  
  Returns:       pointer to the original string, if no quoting needed, or
    fold         if TRUE, a newline is inserted before the separating space when
                   more than one encoded-word is generated
  
  Returns:       pointer to the original string, if no quoting needed, or
-               pointer to buffer containing the quoted string, or
-               a pointer to "String too long" if the buffer can't even hold
-               the introduction
+               pointer to allocated memory containing the quoted string
  */
  
  const uschar *
  */
  
  const uschar *
-parse_quote_2047(const uschar *string, int len, uschar *charset, uschar *buffer,
-  int buffer_size, BOOL fold)
+parse_quote_2047(const uschar *string, int len, uschar *charset, BOOL fold)
  {
  {
-const uschar *s = string;
-uschar *p, *t;
-int hlen;
+const uschar * s = string;
+int hlen, l;
  BOOL coded = FALSE;
  BOOL first_byte = FALSE;
  BOOL coded = FALSE;
  BOOL first_byte = FALSE;
+gstring * g =
+  string_fmt_append(NULL, "=?%s?Q?", charset ? charset : US"iso-8859-1");
  
  
-if (charset == NULL) charset = US"iso-8859-1";
-
-/* We don't expect this to fail! */
+hlen = l = g->ptr;
  
  
-if (!string_format(buffer, buffer_size, "=?%s?Q?", charset))
-  return US"String too long";
-
-hlen = Ustrlen(buffer);
-t = buffer + hlen;
-p = buffer;
-
-for (; len > 0; len--)
+for (s = string; len > 0; s++, len--)
    {
    {
-  int ch = *s++;
-  if (t > buffer + buffer_size - hlen - 8) break;
+  int ch = *s;
  
  
-  if ((t - p > 67) && !first_byte)
+  if (g->ptr - l > 67 && !first_byte)
      {
      {
-    *t++ = '?';
-    *t++ = '=';
-    if (fold) *t++ = '\n';
-    *t++ = ' ';
-    p = t;
-    Ustrncpy(p, buffer, hlen);
-    t += hlen;
+    g = fold ? string_catn(g, US"?=\n ", 4) : string_catn(g, US"?= ", 3);
+    l = g->ptr;
+    g = string_catn(g, g->s, hlen);
      }
  
      }
  
-  if (ch < 33 || ch > 126 ||
-      Ustrchr("?=()<>@,;:\\\".[]_", ch) != NULL)
+  if (  ch < 33 || ch > 126
+     || Ustrchr("?=()<>@,;:\\\".[]_", ch) != NULL)
      {
      if (ch == ' ')
        {
      {
      if (ch == ' ')
        {
-      *t++ = '_';
+      g = string_catn(g, US"_", 1);
        first_byte = FALSE;
        first_byte = FALSE;
-      } 
+      }
      else
        {
      else
        {
-      sprintf(CS t, "=%02X", ch);
-      while (*t != 0) t++;
+      g = string_fmt_append(g, "=%02X", ch);
        coded = TRUE;
        first_byte = !first_byte;
        }
      }
        coded = TRUE;
        first_byte = !first_byte;
        }
      }
-  else { *t++ = ch; first_byte = FALSE; }
+  else
+    { g = string_catn(g, s, 1); first_byte = FALSE; }
    }
  
    }
  
-*t++ = '?';
-*t++ = '=';
-*t = 0;
+if (coded)
+  string = string_from_gstring(g = string_catn(g, US"?=", 2));
+else
+  g->ptr = -1;
  
  
-return coded? buffer : string;
+gstring_release_unused(g);
+return string;
  }
  
  
  }
  
  
@@ -969,32 +953,25 @@ August 2000: Additional code added:
    We *could* use this for all cases, getting rid of the messy original code,
    but leave it for now. It would complicate simple cases like "John Q. Smith".
  
    We *could* use this for all cases, getting rid of the messy original code,
    but leave it for now. It would complicate simple cases like "John Q. Smith".
  
-The result is passed back in the buffer; it is usually going to be added to
-some other string. In order to be sure there is going to be no overflow,
-restrict the length of the input to 1/4 of the buffer size - this allows for
-every single character to be quoted or encoded without overflowing, and that
-wouldn't happen because of amalgamation. If the phrase is too long, return a
-fixed string.
+The result is passed back in allocated memory.
  
  Arguments:
    phrase       an RFC822 phrase
    len          the length of the phrase
  
  Arguments:
    phrase       an RFC822 phrase
    len          the length of the phrase
-  buffer       a buffer to put the result in
-  buffer_size  the size of the buffer
  
  Returns:       the fixed RFC822 phrase
  */
  
  const uschar *
  
  Returns:       the fixed RFC822 phrase
  */
  
  const uschar *
-parse_fix_phrase(const uschar *phrase, int len, uschar *buffer, int buffer_size)
+parse_fix_phrase(const uschar *phrase, int len)
  {
  int ch, i;
  BOOL quoted = FALSE;
  const uschar *s, *end;
  {
  int ch, i;
  BOOL quoted = FALSE;
  const uschar *s, *end;
+uschar * buffer;
  uschar *t, *yield;
  
  while (len > 0 && isspace(*phrase)) { phrase++; len--; }
  uschar *t, *yield;
  
  while (len > 0 && isspace(*phrase)) { phrase++; len--; }
-if (len > buffer_size/4) return US"Name too long";
  
  /* See if there are any non-printing characters, and if so, use the RFC 2047
  encoding for the whole thing. */
  
  /* See if there are any non-printing characters, and if so, use the RFC 2047
  encoding for the whole thing. */
@@ -1002,11 +979,18 @@ encoding for the whole thing. */
  for (i = 0, s = phrase; i < len; i++, s++)
    if ((*s < 32 && *s != '\t') || *s > 126) break;
  
  for (i = 0, s = phrase; i < len; i++, s++)
    if ((*s < 32 && *s != '\t') || *s > 126) break;
  
-if (i < len) return parse_quote_2047(phrase, len, headers_charset, buffer,
-  buffer_size, FALSE);
+if (i < len)
+  return parse_quote_2047(phrase, len, headers_charset, FALSE);
  
  /* No non-printers; use the RFC 822 quoting rules */
  
  
  /* No non-printers; use the RFC 822 quoting rules */
  
+if (!len)
+  {
+  return string_copy_taint(US"", is_tainted(phrase));
+  }
+
+buffer = store_get(len*4, is_tainted(phrase));
+
  s = phrase;
  end = s + len;
  yield = t = buffer + 1;
  s = phrase;
  end = s + len;
  yield = t = buffer + 1;
@@ -1150,9 +1134,12 @@ while (s < end)
              {
              if (ss >= end) ss--;
              *t++ = '(';
              {
              if (ss >= end) ss--;
              *t++ = '(';
-            Ustrncpy(t, s, ss-s);
-            t += ss-s;
-            s = ss;
+            if (ss > s)
+              {
+              Ustrncpy(t, s, ss-s);
+              t += ss-s;
+              s = ss;
+              }
              }
            }
  
              }
            }
  
@@ -1173,6 +1160,7 @@ while (s < end)
    }
  
  *t = 0;
    }
  
  *t = 0;
+store_release_above(t+1);
  return yield;
  }
  
  return yield;
  }
  
@@ -1278,10 +1266,10 @@ for (;;)
    However, if the list is empty only because syntax errors were skipped, we
    return FF_DELIVERED. */
  
    However, if the list is empty only because syntax errors were skipped, we
    return FF_DELIVERED. */
  
-  if (*s == 0)
+  if (!*s)
      {
      {
-    return (count > 0 || (syntax_errors != NULL && *syntax_errors != NULL))?
-      FF_DELIVERED : FF_NOTDELIVERED;
+    return (count > 0 || (syntax_errors && *syntax_errors))
+      ?  FF_DELIVERED : FF_NOTDELIVERED;
  
      /* This previous code returns FF_ERROR if nothing is generated but a
      syntax error has been skipped. I now think it is the wrong approach, but
  
      /* This previous code returns FF_ERROR if nothing is generated but a
      syntax error has been skipped. I now think it is the wrong approach, but
@@ -1397,7 +1385,7 @@ for (;;)
  
      if (flen <= 0)
        {
  
      if (flen <= 0)
        {
-      *error = string_sprintf("file name missing after :include:");
+      *error = US"file name missing after :include:";
        return FF_ERROR;
        }
  
        return FF_ERROR;
        }
  
@@ -1412,7 +1400,7 @@ for (;;)
  
      /* Insist on absolute path */
  
  
      /* Insist on absolute path */
  
-    if (filename[0]!= '/')
+    if (filename[0] != '/')
        {
        *error = string_sprintf("included file \"%s\" is not an absolute path",
          filename);
        {
        *error = string_sprintf("included file \"%s\" is not an absolute path",
          filename);
@@ -1421,15 +1409,22 @@ for (;;)
  
      /* Check if include is permitted */
  
  
      /* Check if include is permitted */
  
-    if ((options & RDO_INCLUDE) != 0)
+    if (options & RDO_INCLUDE)
        {
        *error = US"included files not permitted";
        return FF_ERROR;
        }
  
        {
        *error = US"included files not permitted";
        return FF_ERROR;
        }
  
+    if (is_tainted(filename))
+      {
+      *error = string_sprintf("Tainted name '%s' for included file  not permitted\n",
+       filename);
+      return FF_ERROR;
+      }
+
      /* Check file name if required */
  
      /* Check file name if required */
  
-    if (directory != NULL)
+    if (directory)
        {
        int len = Ustrlen(directory);
        uschar *p = filename + len;
        {
        int len = Ustrlen(directory);
        uschar *p = filename + len;
@@ -1441,16 +1436,53 @@ for (;;)
          return FF_ERROR;
          }
  
          return FF_ERROR;
          }
  
+#ifdef EXIM_HAVE_OPENAT
+      /* It is necessary to check that every component inside the directory
+      is NOT a symbolic link, in order to keep the file inside the directory.
+      This is mighty tedious. We open the directory and openat every component,
+      with a flag that fails symlinks. */
+
+      {
+      int fd = exim_open2(CS directory, O_RDONLY);
+      if (fd < 0)
+       {
+       *error = string_sprintf("failed to open directory %s", directory);
+       return FF_ERROR;
+       }
+      while (*p)
+       {
+       uschar temp;
+       int fd2;
+       uschar * q = p;
+
+       while (*++p && *p != '/') ;
+       temp = *p;
+       *p = '\0';
+
+       fd2 = exim_openat(fd, CS q, O_RDONLY|O_NOFOLLOW);
+       close(fd);
+       *p = temp;
+       if (fd2 < 0)
+         {
+          *error = string_sprintf("failed to open %s (component of included "
+            "file); could be symbolic link", filename);
+         return FF_ERROR;
+         }
+       fd = fd2;
+       }
+      f = fdopen(fd, "rb");
+      }
+#else
        /* It is necessary to check that every component inside the directory
        is NOT a symbolic link, in order to keep the file inside the directory.
        This is mighty tedious. It is also not totally foolproof in that it
        leaves the possibility of a race attack, but I don't know how to do
        any better. */
  
        /* It is necessary to check that every component inside the directory
        is NOT a symbolic link, in order to keep the file inside the directory.
        This is mighty tedious. It is also not totally foolproof in that it
        leaves the possibility of a race attack, but I don't know how to do
        any better. */
  
-      while (*p != 0)
+      while (*p)
          {
          int temp;
          {
          int temp;
-        while (*(++p) != 0 && *p != '/');
+        while (*++p && *p != '/');
          temp = *p;
          *p = 0;
          if (Ulstat(filename, &statbuf) != 0)
          temp = *p;
          *p = 0;
          if (Ulstat(filename, &statbuf) != 0)
@@ -1470,13 +1502,18 @@ for (;;)
            return FF_ERROR;
            }
          }
            return FF_ERROR;
            }
          }
+#endif
        }
  
        }
  
-    /* Open and stat the file */
+#ifdef EXIM_HAVE_OPENAT
+    else
+#endif
+      /* Open and stat the file */
+      f = Ufopen(filename, "rb");
  
  
-    if ((f = Ufopen(filename, "rb")) == NULL)
+    if (!f)
        {
        {
-      *error = string_open_failed(errno, "included file %s", filename);
+      *error = string_open_failed("included file %s", filename);
        return FF_INCLUDEFAIL;
        }
  
        return FF_INCLUDEFAIL;
        }
  
@@ -1490,7 +1527,7 @@ for (;;)
  
      /* If directory was checked, double check that we opened a regular file */
  
  
      /* If directory was checked, double check that we opened a regular file */
  
-    if (directory != NULL && (statbuf.st_mode & S_IFMT) != S_IFREG)
+    if (directory && (statbuf.st_mode & S_IFMT) != S_IFREG)
        {
        *error = string_sprintf("included file %s is not a regular file in "
          "the %s directory", filename, directory);
        {
        *error = string_sprintf("included file %s is not a regular file in "
          "the %s directory", filename, directory);
@@ -1506,7 +1543,7 @@ for (;;)
        return FF_ERROR;
        }
  
        return FF_ERROR;
        }
  
-    filebuf = store_get(statbuf.st_size + 1);
+    filebuf = store_get(statbuf.st_size + 1, is_tainted(filename));
      if (fread(filebuf, 1, statbuf.st_size, f) != statbuf.st_size)
        {
        *error = string_sprintf("error while reading included file %s: %s",
      if (fread(filebuf, 1, statbuf.st_size, f) != statbuf.st_size)
        {
        *error = string_sprintf("error while reading included file %s: %s",
@@ -1522,10 +1559,9 @@ for (;;)
        error, incoming_domain, directory, syntax_errors);
      if (frc != FF_DELIVERED && frc != FF_NOTDELIVERED) return frc;
  
        error, incoming_domain, directory, syntax_errors);
      if (frc != FF_DELIVERED && frc != FF_NOTDELIVERED) return frc;
  
-    if (addr != NULL)
+    if (addr)
        {
        {
-      last = addr;
-      while (last->next != NULL) { count++; last = last->next; }
+      for (last = addr; last->next; last = last->next) count++;
        last->next = *anchor;
        *anchor = addr;
        count++;
        last->next = *anchor;
        *anchor = addr;
        count++;
@@ -1554,7 +1590,7 @@ for (;;)
    else
      {
      int start, end, domain;
    else
      {
      int start, end, domain;
-    uschar *recipient = NULL;
+    const uschar *recipient = NULL;
      int save = s[len];
      s[len] = 0;
  
      int save = s[len];
      s[len] = 0;
  
@@ -1567,14 +1603,14 @@ for (;;)
        {
        recipient =
          parse_extract_address(s+1, error, &start, &end, &domain, FALSE);
        {
        recipient =
          parse_extract_address(s+1, error, &start, &end, &domain, FALSE);
-      if (recipient != NULL)
-        recipient = (domain != 0)? NULL :
+      if (recipient)
+        recipient = domain != 0 ? NULL :
            string_sprintf("%s@%s", recipient, incoming_domain);
        }
  
      /* Try parsing the item as an address. */
  
            string_sprintf("%s@%s", recipient, incoming_domain);
        }
  
      /* Try parsing the item as an address. */
  
-    if (recipient == NULL) recipient =
+    if (!recipient) recipient =
        parse_extract_address(s, error, &start, &end, &domain, FALSE);
  
      /* If item starts with / or | and is not a valid address, or there
        parse_extract_address(s, error, &start, &end, &domain, FALSE);
  
      /* If item starts with / or | and is not a valid address, or there
@@ -1583,7 +1619,7 @@ for (;;)
  
      if ((*s == '|' || *s == '/') && (recipient == NULL || domain == 0))
        {
  
      if ((*s == '|' || *s == '/') && (recipient == NULL || domain == 0))
        {
-      uschar *t = store_get(Ustrlen(s) + 1);
+      uschar *t = store_get(Ustrlen(s) + 1, is_tainted(s));
        uschar *p = t;
        uschar *q = s;
        while (*q != 0)
        uschar *p = t;
        uschar *q = s;
        while (*q != 0)
@@ -1622,7 +1658,7 @@ for (;;)
  
          if (syntax_errors != NULL)
            {
  
          if (syntax_errors != NULL)
            {
-          error_block *e = store_get(sizeof(error_block));
+          error_block *e = store_get(sizeof(error_block), FALSE);
            error_block *last = *syntax_errors;
            if (last == NULL) *syntax_errors = e; else
              {
            error_block *last = *syntax_errors;
            if (last == NULL) *syntax_errors = e; else
              {
@@ -1650,8 +1686,8 @@ for (;;)
        recipient = ((options & RDO_REWRITE) != 0)?
          rewrite_address(recipient, TRUE, FALSE, global_rewrite_rules,
            rewrite_existflags) :
        recipient = ((options & RDO_REWRITE) != 0)?
          rewrite_address(recipient, TRUE, FALSE, global_rewrite_rules,
            rewrite_existflags) :
-        rewrite_address_qualify(recipient, TRUE);
-      addr = deliver_make_addr(recipient, TRUE);  /* TRUE => copy recipient */
+        rewrite_address_qualify(recipient, TRUE);      /*XXX loses track of const */
+      addr = deliver_make_addr(US recipient, TRUE);  /* TRUE => copy recipient, so deconst ok */
        }
  
      /* Restore the final character in the original data, and add to the
        }
  
      /* Restore the final character in the original data, and add to the
@@ -1685,11 +1721,12 @@ Arguments:
  Returns:       points after the processed message-id or NULL on error
  */
  
  Returns:       points after the processed message-id or NULL on error
  */
  
-uschar *
-parse_message_id(uschar *str, uschar **yield, uschar **error)
+const uschar *
+parse_message_id(const uschar *str, uschar **yield, uschar **error)
  {
  uschar *domain = NULL;
  uschar *id;
  {
  uschar *domain = NULL;
  uschar *id;
+rmark reset_point;
  
  str = skip_comment(str);
  if (*str != '<')
  
  str = skip_comment(str);
  if (*str != '<')
@@ -1702,30 +1739,30 @@ if (*str != '<')
  for the answer, but it may also be very long if we are processing a header
  line. Therefore, take care to release unwanted store afterwards. */
  
  for the answer, but it may also be very long if we are processing a header
  line. Therefore, take care to release unwanted store afterwards. */
  
-id = *yield = store_get(Ustrlen(str) + 1);
+reset_point = store_mark();
+id = *yield = store_get(Ustrlen(str) + 1, is_tainted(str));
  *id++ = *str++;
  
  str = read_addr_spec(str, id, '>', error, &domain);
  
  *id++ = *str++;
  
  str = read_addr_spec(str, id, '>', error, &domain);
  
-if (*error == NULL)
+if (!*error)
    {
    if (*str != '>') *error = US"Missing '>' after message-id";
      else if (domain == NULL) *error = US"domain missing in message-id";
    }
  
    {
    if (*str != '>') *error = US"Missing '>' after message-id";
      else if (domain == NULL) *error = US"domain missing in message-id";
    }
  
-if (*error != NULL)
+if (*error)
    {
    {
-  store_reset(*yield);
+  store_reset(reset_point);
    return NULL;
    }
  
    return NULL;
    }
  
-while (*id != 0) id++;
+while (*id) id++;
  *id++ = *str++;
  *id++ = 0;
  *id++ = *str++;
  *id++ = 0;
-store_reset(id);
+store_release_above(id);
  
  
-str = skip_comment(str);
-return str;
+return skip_comment(str);
  }
  
  
  }
  
  
@@ -1743,16 +1780,16 @@ Arguments:
  Returns:       points after the processed date or NULL on error
  */
  
  Returns:       points after the processed date or NULL on error
  */
  
-static uschar *
-parse_number(uschar *str, int *n, int digits)
+static const uschar *
+parse_number(const uschar *str, int *n, int digits)
  {
  {
-  *n=0;
-  while (digits--)
+*n=0;
+while (digits--)
    {
    {
-    if (*str<'0' || *str>'9') return NULL;
-    *n=10*(*n)+(*str++-'0');
+  if (*str<'0' || *str>'9') return NULL;
+  *n=10*(*n)+(*str++-'0');
    }
    }
-  return str;
+return str;
  }
  
  
  }
  
  
@@ -1769,8 +1806,8 @@ Arguments:
  Returns:       points after the parsed day or NULL on error
  */
  
  Returns:       points after the parsed day or NULL on error
  */
  
-static uschar *
-parse_day_of_week(uschar *str)
+static const uschar *
+parse_day_of_week(const uschar * str)
  {
  /*
  day-of-week     =       ([FWS] day-name) / obs-day-of-week
  {
  /*
  day-of-week     =       ([FWS] day-name) / obs-day-of-week
@@ -1785,17 +1822,16 @@ static const uschar *day_name[7]={ US"mon", US"tue", US"wed", US"thu", US"fri",
  int i;
  uschar day[4];
  
  int i;
  uschar day[4];
  
-str=skip_comment(str);
-for (i=0; i<3; ++i)
+str = skip_comment(str);
+for (i = 0; i < 3; ++i)
    {
    {
-  if ((day[i]=tolower(*str))=='\0') return NULL;
+  if ((day[i] = tolower(*str)) == '\0') return NULL;
    ++str;
    }
    ++str;
    }
-day[3]='\0';
-for (i=0; i<7; ++i) if (Ustrcmp(day,day_name[i])==0) break;
-if (i==7) return NULL;
-str=skip_comment(str);
-return str;
+day[3] = '\0';
+for (i = 0; i<7; ++i) if (Ustrcmp(day,day_name[i]) == 0) break;
+if (i == 7) return NULL;
+return skip_comment(str);
  }
  
  
  }
  
  
@@ -1815,8 +1851,8 @@ Arguments:
  Returns:       points after the processed date or NULL on error
  */
  
  Returns:       points after the processed date or NULL on error
  */
  
-static uschar *
-parse_date(uschar *str, int *d, int *m, int *y)
+static const uschar *
+parse_date(const uschar *str, int *d, int *m, int *y)
  {
  /*
  date            =       day month year
  {
  /*
  date            =       day month year
@@ -1838,36 +1874,39 @@ day             =       ([FWS] 1*2DIGIT) / obs-day
  obs-day         =       [CFWS] 1*2DIGIT [CFWS]
  */
  
  obs-day         =       [CFWS] 1*2DIGIT [CFWS]
  */
  
-uschar *c,*n;
+const uschar * s, * n;
  static const uschar *month_name[]={ US"jan", US"feb", US"mar", US"apr", US"may", US"jun", US"jul", US"aug", US"sep", US"oct", US"nov", US"dec" };
  int i;
  uschar month[4];
  
  static const uschar *month_name[]={ US"jan", US"feb", US"mar", US"apr", US"may", US"jun", US"jul", US"aug", US"sep", US"oct", US"nov", US"dec" };
  int i;
  uschar month[4];
  
-str=skip_comment(str);
-if ((str=parse_number(str,d,1))==NULL) return NULL;
-if (*str>='0' && *str<='9') *d=10*(*d)+(*str++-'0');
-c=skip_comment(str);
-if (c==str) return NULL;
-else str=c;
-for (i=0; i<3; ++i) if ((month[i]=tolower(*(str+i)))=='\0') return NULL;
-month[3]='\0';
-for (i=0; i<12; ++i) if (Ustrcmp(month,month_name[i])==0) break;
-if (i==12) return NULL;
+str = skip_comment(str);
+if ((str = parse_number(str,d,1)) == NULL) return NULL;
+
+if (*str>='0' && *str<='9') *d = 10*(*d)+(*str++-'0');
+s = skip_comment(str);
+if (s == str) return NULL;
+str = s;
+
+for (i = 0; i<3; ++i) if ((month[i]=tolower(*(str+i))) == '\0') return NULL;
+month[3] = '\0';
+for (i = 0; i<12; ++i) if (Ustrcmp(month,month_name[i]) == 0) break;
+if (i == 12) return NULL;
  str+=3;
  str+=3;
-*m=i;
-c=skip_comment(str);
-if (c==str) return NULL;
-else str=c;
-if ((n=parse_number(str,y,4)))
+*m = i;
+s = skip_comment(str);
+if (s == str) return NULL;
+str=s;
+
+if ((n = parse_number(str,y,4)))
    {
    {
-  str=n;
+  str = n;
    if (*y<1900) return NULL;
    if (*y<1900) return NULL;
-  *y=*y-1900;
+  *y = *y-1900;
    }
    }
-else if ((n=parse_number(str,y,2)))
+else if ((n = parse_number(str,y,2)))
    {
    {
-  str=skip_comment(n);
-  while (*(str-1)==' ' || *(str-1)=='\t') --str; /* match last FWS later */
+  str = skip_comment(n);
+  while (*(str-1) == ' ' || *(str-1) == '\t') --str; /* match last FWS later */
    if (*y<50) *y+=100;
    }
  else return NULL;
    if (*y<50) *y+=100;
    }
  else return NULL;
@@ -1892,8 +1931,8 @@ Arguments:
  Returns:       points after the processed time or NULL on error
  */
  
  Returns:       points after the processed time or NULL on error
  */
  
-static uschar *
-parse_time(uschar *str, int *h, int *m, int *s, int *z)
+static const uschar *
+parse_time(const uschar *str, int *h, int *m, int *s, int *z)
  {
  /*
  time            =       time-of-day FWS zone
  {
  /*
  time            =       time-of-day FWS zone
@@ -1928,61 +1967,61 @@ obs-zone        =       "UT" / "GMT" /          ; Universal Time
                          %d107-122               ; upper and lower case
  */
  
                          %d107-122               ; upper and lower case
  */
  
-uschar *c;
+const uschar * c;
  
  
-str=skip_comment(str);
-if ((str=parse_number(str,h,2))==NULL) return NULL;
-str=skip_comment(str);
+str = skip_comment(str);
+if ((str = parse_number(str,h,2)) == NULL) return NULL;
+str = skip_comment(str);
  if (*str!=':') return NULL;
  ++str;
  if (*str!=':') return NULL;
  ++str;
-str=skip_comment(str);
-if ((str=parse_number(str,m,2))==NULL) return NULL;
-c=skip_comment(str);
-if (*str==':')
+str = skip_comment(str);
+if ((str = parse_number(str,m,2)) == NULL) return NULL;
+c = skip_comment(str);
+if (*str == ':')
    {
    ++str;
    {
    ++str;
-  str=skip_comment(str);
-  if ((str=parse_number(str,s,2))==NULL) return NULL;
-  c=skip_comment(str);
+  str = skip_comment(str);
+  if ((str = parse_number(str,s,2)) == NULL) return NULL;
+  c = skip_comment(str);
    }
    }
-if (c==str) return NULL;
+if (c == str) return NULL;
  else str=c;
  else str=c;
-if (*str=='+' || *str=='-')
+if (*str == '+' || *str == '-')
    {
    int neg;
  
    {
    int neg;
  
-  neg=(*str=='-');
+  neg = (*str == '-');
    ++str;
    ++str;
-  if ((str=parse_number(str,z,4))==NULL) return NULL;
-  *z=(*z/100)*3600+(*z%100)*60;
-  if (neg) *z=-*z;
+  if ((str = parse_number(str,z,4)) == NULL) return NULL;
+  *z = (*z/100)*3600+(*z%100)*60;
+  if (neg) *z = -*z;
    }
  else
    {
    char zone[5];
    }
  else
    {
    char zone[5];
-  struct { const char *name; int off; } zone_name[10]=
+  struct { const char *name; int off; } zone_name[10] =
    { {"gmt",0}, {"ut",0}, {"est",-5}, {"edt",-4}, {"cst",-6}, {"cdt",-5}, {"mst",-7}, {"mdt",-6}, {"pst",-8}, {"pdt",-7}};
    int i,j;
  
    { {"gmt",0}, {"ut",0}, {"est",-5}, {"edt",-4}, {"cst",-6}, {"cdt",-5}, {"mst",-7}, {"mdt",-6}, {"pst",-8}, {"pdt",-7}};
    int i,j;
  
-  for (i=0; i<4; ++i)
+  for (i = 0; i<4; ++i)
      {
      {
-    zone[i]=tolower(*(str+i));
+    zone[i] = tolower(*(str+i));
      if (zone[i]<'a' || zone[i]>'z') break;
      }
      if (zone[i]<'a' || zone[i]>'z') break;
      }
-  zone[i]='\0';
-  for (j=0; j<10 && strcmp(zone,zone_name[j].name); ++j);
+  zone[i] = '\0';
+  for (j = 0; j<10 && strcmp(zone,zone_name[j].name); ++j);
    /* Besides zones named in the grammar, RFC 2822 says other alphabetic */
    /* time zones should be treated as unknown offsets. */
    if (j<10)
      {
    /* Besides zones named in the grammar, RFC 2822 says other alphabetic */
    /* time zones should be treated as unknown offsets. */
    if (j<10)
      {
-    *z=zone_name[j].off*3600;
+    *z = zone_name[j].off*3600;
      str+=i;
      }
    else if (zone[0]<'a' || zone[1]>'z') return 0;
    else
      {
      while ((*str>='a' && *str<='z') || (*str>='A' && *str<='Z')) ++str;
      str+=i;
      }
    else if (zone[0]<'a' || zone[1]>'z') return 0;
    else
      {
      while ((*str>='a' && *str<='z') || (*str>='A' && *str<='Z')) ++str;
-    *z=0;
+    *z = 0;
      }
    }
  return str;
      }
    }
  return str;
@@ -2002,8 +2041,8 @@ Arguments:
  Returns:       points after the processed date-time or NULL on error
  */
  
  Returns:       points after the processed date-time or NULL on error
  */
  
-uschar *
-parse_date_time(uschar *str, time_t *t)
+const uschar *
+parse_date_time(const uschar *str, time_t *t)
  {
  /*
  date-time       =       [ day-of-week "," ] date FWS time [CFWS]
  {
  /*
  date-time       =       [ day-of-week "," ] date FWS time [CFWS]
@@ -2015,27 +2054,26 @@ extern char **environ;
  char **old_environ;
  static char gmt0[]="TZ=GMT0";
  static char *gmt_env[]={ gmt0, (char*)0 };
  char **old_environ;
  static char gmt0[]="TZ=GMT0";
  static char *gmt_env[]={ gmt0, (char*)0 };
-uschar *try;
+const uschar * try;
  
  
-if ((try=parse_day_of_week(str)))
+if ((try = parse_day_of_week(str)))
    {
    {
-  str=try;
+  str = try;
    if (*str!=',') return 0;
    ++str;
    }
    if (*str!=',') return 0;
    ++str;
    }
-if ((str=parse_date(str,&tm.tm_mday,&tm.tm_mon,&tm.tm_year))==NULL) return NULL;
+if ((str = parse_date(str,&tm.tm_mday,&tm.tm_mon,&tm.tm_year)) == NULL) return NULL;
  if (*str!=' ' && *str!='\t') return NULL;
  if (*str!=' ' && *str!='\t') return NULL;
-while (*str==' ' || *str=='\t') ++str;
-if ((str=parse_time(str,&tm.tm_hour,&tm.tm_min,&tm.tm_sec,&zone))==NULL) return NULL;
-tm.tm_isdst=0;
-old_environ=environ;
-environ=gmt_env;
-*t=mktime(&tm);
-environ=old_environ;
-if (*t==-1) return NULL;
+while (*str == ' ' || *str == '\t') ++str;
+if ((str = parse_time(str,&tm.tm_hour,&tm.tm_min,&tm.tm_sec,&zone)) == NULL) return NULL;
+tm.tm_isdst = 0;
+old_environ = environ;
+environ = gmt_env;
+*t = mktime(&tm);
+environ = old_environ;
+if (*t == -1) return NULL;
  *t-=zone;
  *t-=zone;
-str=skip_comment(str);
-return str;
+return skip_comment(str);
  }
  
  
  }
  
  
@@ -2052,8 +2090,8 @@ int main(void)
  {
  int start, end, domain;
  uschar buffer[1024];
  {
  int start, end, domain;
  uschar buffer[1024];
-uschar outbuff[1024];
  
  
+store_init();
  big_buffer = store_malloc(big_buffer_size);
  
  /* strip_trailing_dot = TRUE; */
  big_buffer = store_malloc(big_buffer_size);
  
  /* strip_trailing_dot = TRUE; */
@@ -2065,8 +2103,7 @@ while (Ufgets(buffer, sizeof(buffer), stdin) != NULL)
    {
    buffer[Ustrlen(buffer)-1] = 0;
    if (buffer[0] == 0) break;
    {
    buffer[Ustrlen(buffer)-1] = 0;
    if (buffer[0] == 0) break;
-  printf("%s\n", CS parse_fix_phrase(buffer, Ustrlen(buffer), outbuff,
-    sizeof(outbuff)));
+  printf("%s\n", CS parse_fix_phrase(buffer, Ustrlen(buffer)));
    }
  
  printf("Testing parse_extract_address without group syntax and without UTF-8\n");
    }
  
  printf("Testing parse_extract_address without group syntax and without UTF-8\n");
@@ -2078,7 +2115,9 @@ while (Ufgets(buffer, sizeof(buffer), stdin) != NULL)
    buffer[Ustrlen(buffer) - 1] = 0;
    if (buffer[0] == 0) break;
    out = parse_extract_address(buffer, &errmess, &start, &end, &domain, FALSE);
    buffer[Ustrlen(buffer) - 1] = 0;
    if (buffer[0] == 0) break;
    out = parse_extract_address(buffer, &errmess, &start, &end, &domain, FALSE);
-  if (out == NULL) printf("*** bad address: %s\n", errmess); else
+  if (!out)
+    printf("*** bad address: %s\n", errmess);
+  else
      {
      uschar extract[1024];
      Ustrncpy(extract, buffer+start, end-start);
      {
      uschar extract[1024];
      Ustrncpy(extract, buffer+start, end-start);
@@ -2097,7 +2136,9 @@ while (Ufgets(buffer, sizeof(buffer), stdin) != NULL)
    buffer[Ustrlen(buffer) - 1] = 0;
    if (buffer[0] == 0) break;
    out = parse_extract_address(buffer, &errmess, &start, &end, &domain, FALSE);
    buffer[Ustrlen(buffer) - 1] = 0;
    if (buffer[0] == 0) break;
    out = parse_extract_address(buffer, &errmess, &start, &end, &domain, FALSE);
-  if (out == NULL) printf("*** bad address: %s\n", errmess); else
+  if (!out)
+    printf("*** bad address: %s\n", errmess);
+  else
      {
      uschar extract[1024];
      Ustrncpy(extract, buffer+start, end-start);
      {
      uschar extract[1024];
      Ustrncpy(extract, buffer+start, end-start);
@@ -2109,7 +2150,7 @@ allow_utf8_domains = FALSE;
  
  printf("Testing parse_extract_address with group syntax\n");
  
  
  printf("Testing parse_extract_address with group syntax\n");
  
-parse_allow_group = TRUE;
+f.parse_allow_group = TRUE;
  while (Ufgets(buffer, sizeof(buffer), stdin) != NULL)
    {
    uschar *out;
  while (Ufgets(buffer, sizeof(buffer), stdin) != NULL)
    {
    uschar *out;
@@ -2118,7 +2159,7 @@ while (Ufgets(buffer, sizeof(buffer), stdin) != NULL)
    buffer[Ustrlen(buffer) - 1] = 0;
    if (buffer[0] == 0) break;
    s = buffer;
    buffer[Ustrlen(buffer) - 1] = 0;
    if (buffer[0] == 0) break;
    s = buffer;
-  while (*s != 0)
+  while (*s)
      {
      uschar *ss = parse_find_address_end(s, FALSE);
      int terminator = *ss;
      {
      uschar *ss = parse_find_address_end(s, FALSE);
      int terminator = *ss;
@@ -2126,7 +2167,9 @@ while (Ufgets(buffer, sizeof(buffer), stdin) != NULL)
      out = parse_extract_address(buffer, &errmess, &start, &end, &domain, FALSE);
      *ss = terminator;
  
      out = parse_extract_address(buffer, &errmess, &start, &end, &domain, FALSE);
      *ss = terminator;
  
-    if (out == NULL) printf("*** bad address: %s\n", errmess); else
+    if (!out)
+      printf("*** bad address: %s\n", errmess);
+    else
        {
        uschar extract[1024];
        Ustrncpy(extract, buffer+start, end-start);
        {
        uschar extract[1024];
        Ustrncpy(extract, buffer+start, end-start);
@@ -2135,7 +2178,7 @@ while (Ufgets(buffer, sizeof(buffer), stdin) != NULL)
        }
  
      s = ss + (terminator? 1:0);
        }
  
      s = ss + (terminator? 1:0);
-    while (isspace(*s)) s++;
+    Uskip_whitespace(&s);
      }
    }
  
      }
    }