WordPress.org

Make WordPress Core

Ticket #12460: 12460_small.patch

File 12460_small.patch, 12.8 KB (added by ocean90, 8 years ago)

wp_die() over include('admin_header.php'); overhauled ms-admin.php, don't allow to change the status of the main site

  • wp-admin/ms-admin.php

     
    11<?php
    2 require_once('admin.php');
     2require_once( 'admin.php' );
    33
    44if ( !is_multisite() )
    5         wp_die( __('Multisite support is not enabled.') );
     5        wp_die( __( 'Multisite support is not enabled.' ) );
    66
    7 $title = __('Network Admin');
    8 $parent_file = 'ms-admin.php';
     7if ( ! current_user_can( 'manage_network' ) )
     8        wp_die( __( 'You do not have permission to access this page.' ) );
    99
    1010function index_css() {
    1111        wp_admin_css( 'css/dashboard' );
    1212}
    1313add_action( 'admin_head', 'index_css' );
    1414
    15 require_once('admin-header.php');
     15$title = __( 'Network Admin' );
     16$parent_file = 'ms-admin.php';
     17require_once( 'admin-header.php' );
    1618
    17 if ( ! current_user_can( 'manage_network' ) )
    18         wp_die( __('You do not have permission to access this page.') );
    19 
    20 global $wpdb;
    2119$c_users = get_user_count();
    2220$c_blogs = get_blog_count();
    2321
     
    3230        <h2><?php echo esc_html( $title ); ?></h2>
    3331
    3432        <ul class="subsubsub">
    35         <li><a href="ms-sites.php#form-add-blog" class="rbutton"><strong><?php _e('Create a New Site'); ?></strong></a> | </li>
    36         <li><a href="ms-users.php#form-add-user" class="rbutton"><?php _e('Create a New User'); ?></a></li>
     33        <li><a href="<?php echo esc_url( admin_url( 'ms-sites.php#form-add-site' ) ); ?>" class="rbutton"><strong><?php _e( 'Create a New Site' ); ?></strong></a> | </li>
     34        <li><a href="<?php echo esc_url( admin_url( 'ms-users.php#form-add-user' ) ); ?>" class="rbutton"><?php _e( 'Create a New User' ); ?></a></li>
    3735        </ul>
    38         <br clear='all' />
     36        <br clear="all" />
    3937
    4038        <p class="youhave"><?php echo $sentence; ?></p>
    41         <?php do_action('wpmuadminresult', ''); ?>
     39        <?php do_action( 'wpmuadminresult', '' ); ?>
    4240
    43         <form name="searchform" action="ms-users.php" method="get">
     41        <form name="searchform" action="<?php echo esc_url( admin_url( 'ms-users.php' ) ); ?>" method="get">
    4442                <p>
    4543                        <input type="hidden" name="action" value="users" />
    4644                        <input type="text" name="s" value="" size="17" />
    47                         <input class="button" type="submit" name="submit" value="<?php esc_attr_e("Search Users"); ?>" />
     45                        <input class="button" type="submit" name="submit" value="<?php esc_attr_e( 'Search Users' ); ?>" />
    4846                </p>
    4947        </form>
    5048
    51         <form name="searchform" action="ms-sites.php" method="get">
     49        <form name="searchform" action="<?php echo esc_url( admin_url( 'ms-sites.php' ) ); ?>" method="get">
    5250                <p>
    5351                        <input type="hidden" name="action" value="blogs" />
    5452                        <input type="text" name="s" value="" size="17" />
    55                         <input class="button" type="submit" name="blog_name" value="<?php esc_attr_e("Search Sites"); ?>" />
     53                        <input class="button" type="submit" name="blog_name" value="<?php esc_attr_e( 'Search Sites' ); ?>" />
    5654                </p>
    5755        </form>
    5856
     
    6159        </div><!-- rightnow -->
    6260</div>
    6361
    64 <?php include('admin-footer.php'); ?>
     62<?php include( 'admin-footer.php' ); ?>
  • wp-admin/ms-delete-site.php

     
    1717        }
    1818}
    1919
    20 $action = isset( $_POST['action'] ) ? $_POST['action'] : 'splash';
    21 
    2220$title = __( 'Delete Site' );
    2321$parent_file = 'tools.php';
    2422require_once( './admin-header.php' );
  • wp-admin/ms-edit.php

     
    465465                        nocache_headers();
    466466                        header( 'Content-Type: text/html; charset=utf-8' );
    467467                }
    468                 if ( $current_site->blog_id == $id )   
     468                if ( $current_site->blog_id == $id && 'matureblog' != $_GET['action2'] && 'unmatureblog' != $_GET['action2']  )
    469469                        wp_die( __( 'You are not allowed to change the current site.' ) );
    470470                ?>
    471471                <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
  • wp-admin/ms-options.php

     
    44if ( !is_multisite() )
    55        wp_die( __( 'Multisite support is not enabled.' ) );
    66
     7if ( ! current_user_can( 'manage_network_options' ) )
     8    wp_die( __( 'You do not have permission to access this page.' ) );
     9
    710$title = __( 'Network Options' );
    811$parent_file = 'ms-admin.php';
    9 
    1012include( './admin-header.php' );
    1113
    12 if ( ! current_user_can( 'manage_network_options' ) )
    13     wp_die( __( 'You do not have permission to access this page.' ) );
    14 
    1514if (isset($_GET['updated'])) {
    1615        ?>
    1716        <div id="message" class="updated fade"><p><?php _e( 'Options saved.' ) ?></p></div>
  • wp-admin/ms-sites.php

     
    44if ( !is_multisite() )
    55        wp_die( __( 'Multisite support is not enabled.' ) );
    66
    7 $title = __( 'Sites' );
    8 $parent_file = 'ms-admin.php';
     7if ( ! current_user_can( 'manage_sites' ) )
     8        wp_die( __( 'You do not have permission to access this page.' ) );
    99
    1010wp_enqueue_script( 'admin-forms' );
    1111
     12$title = __( 'Sites' );
     13$parent_file = 'ms-admin.php';
    1214require_once( './admin-header.php' );
    1315
    14 if ( ! current_user_can( 'manage_sites' ) )
    15         wp_die( __( 'You do not have permission to access this page.' ) );
    16 
    1716$id = isset( $_GET['id'] ) ? intval( $_GET['id'] ) : 0;
    1817
    1918if ( isset( $_GET['updated'] ) && $_GET['updated'] == 'true' && ! empty( $_GET['action'] ) ) {
     
    125124                                                                <label><input type="radio" style="width:20px;" name="blog[public]" value="0" <?php checked( $details->public, 0 ); ?> /> <?php _e( 'No' ) ?></label>
    126125                                                        </td>
    127126                                                </tr>
     127                                                <?php if ( !$is_main_site ) { ?>
    128128                                                <tr class="form-field">
    129129                                                        <th scope="row"><?php _e( 'Archived' ); ?></th>
    130130                                                        <td>
     
    133133                                                        </td>
    134134                                                </tr>
    135135                                                <tr class="form-field">
    136                                                         <th scope="row"><?php _e( 'Mature' ); ?></th>
    137                                                         <td>
    138                                                                 <label><input type="radio" style="width:20px;" name="blog[mature]" value="1" <?php checked( $details->mature, 1 ); ?> /> <?php _e( 'Yes' ) ?></label>
    139                                                                 <label><input type="radio" style="width:20px;" name="blog[mature]" value="0" <?php checked( $details->mature, 0); ?> /> <?php _e( 'No' ) ?></label>
    140                                                         </td>
    141                                                 </tr>
    142                                                 <tr class="form-field">
    143136                                                        <th scope="row"><?php _e( 'Spam' ); ?></th>
    144137                                                        <td>
    145138                                                                <label><input type="radio" style="width:20px;" name="blog[spam]" value="1" <?php checked( $details->spam, 1 ); ?> /> <?php _e( 'Yes' ) ?></label>
     
    153146                                                                <label><input type="radio" style="width:20px;" name="blog[deleted]" value="0" <?php checked( $details->deleted, 0 ); ?> /> <?php _e( 'No' ) ?></label>
    154147                                                        </td>
    155148                                                </tr>
     149                                                <?php } ?>
     150                                                <tr class="form-field">
     151                                                        <th scope="row"><?php _e( 'Mature' ); ?></th>
     152                                                        <td>
     153                                                                <label><input type="radio" style="width:20px;" name="blog[mature]" value="1" <?php checked( $details->mature, 1 ); ?> /> <?php _e( 'Yes' ) ?></label>
     154                                                                <label><input type="radio" style="width:20px;" name="blog[mature]" value="0" <?php checked( $details->mature, 0); ?> /> <?php _e( 'No' ) ?></label>
     155                                                        </td>
     156                                                </tr>
    156157                                        </table>
    157158                                        <p class="submit" style="text-align:center;"><input type="submit" name="Submit" value="<?php esc_attr_e( 'Update Options' ) ?>" /></p>
    158159                                </div>
     
    557558                                                                                        $actions[]      = '<span class="activate"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=activateblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to activate the site %s" ), $blogname ) ) ) ) . '">' . __( 'Activate' ) . '</a></span>';
    558559                                                                                else
    559560                                                                                        $actions[]      = '<span class="activate"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=deactivateblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to deactivate the site %s" ), $blogname ) ) ) ) . '">' . __( 'Deactivate' ) . '</a></span>';
    560        
     561
    561562                                                                                if ( get_blog_status( $blog['blog_id'], 'archived' ) == '1' )
    562563                                                                                        $actions[]      = '<span class="archive"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=unarchiveblog&amp;id=' .  $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to unarchive the site %s." ), $blogname ) ) ) ) . '">' . __( 'Unarchive' ) . '</a></span>';
    563564                                                                                else
    564565                                                                                        $actions[]      = '<span class="archive"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=archiveblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to archive the site %s." ), $blogname ) ) ) ) . '">' . __( 'Archive' ) . '</a></span>';
    565        
     566
    566567                                                                                if ( get_blog_status( $blog['blog_id'], 'spam' ) == '1' )
    567568                                                                                        $actions[]      = '<span class="spam"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=unspamblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to unspam the site %s." ), $blogname ) ) ) ) . '">' . __( 'Not Spam' ) . '</a></span>';
    568569                                                                                else
    569570                                                                                        $actions[]      = '<span class="spam"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=spamblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to mark the site %s as spam." ), $blogname ) ) ) ) . '">' . __( 'Spam' ) . '</a></span>';
    570        
    571                                                                                 if ( get_blog_status( $blog['blog_id'], 'mature' ) == '1' )
    572                                                                                         $actions[]      = '<span class="mature"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=unmatureblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to unmature the site %s." ), $blogname ) ) ) ) . '">' . __( 'Not Mature' ) . '</a></span>';
    573                                                                                 else
    574                                                                                         $actions[]      = '<span class="mature"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=matureblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to mark the site %s as mature." ), $blogname ) ) ) ) . '">' . __( 'Mature' ) . '</a></span>';
    575        
     571
    576572                                                                                $actions[]      = '<span class="delete"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=deleteblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to delete the site %s." ), $blogname ) ) ) ) . '">' . __( 'Delete' ) . '</a></span>';
    577573                                                                        }
    578574
     575                                                                        if ( get_blog_status( $blog['blog_id'], 'mature' ) == '1' )
     576                                                                                $actions[]      = '<span class="mature"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=unmatureblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to unmature the site %s." ), $blogname ) ) ) ) . '">' . __( 'Not Mature' ) . '</a></span>';
     577                                                                        else
     578                                                                                $actions[]      = '<span class="mature"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=matureblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to mark the site %s as mature." ), $blogname ) ) ) ) . '">' . __( 'Mature' ) . '</a></span>';
     579
    579580                                                                        $actions[]      = "<span class='view'><a href='" . esc_url( get_home_url( $blog['blog_id'] ) ) . "' rel='permalink'>" . __( 'Visit' ) . '</a>';
    580581
    581582                                                                        if ( count( $actions ) ) : ?>
  • wp-admin/ms-themes.php

     
    11<?php
    22require_once( './admin.php' );
    33
     4if ( ! current_user_can( 'manage_network_themes' ) )
     5        wp_die( __( 'You do not have permission to access this page.' ) );
     6
    47$title = __( 'Network Themes' );
    58$parent_file = 'ms-admin.php';
    69require_once( './admin-header.php' );
    710
    8 if ( ! current_user_can( 'manage_network_themes' ) )
    9         wp_die( __( 'You do not have permission to access this page.' ) );
    10 
    1111if ( isset( $_GET['updated'] ) ) {
    1212        ?>
    1313        <div id="message" class="updated fade"><p><?php _e( 'Site themes saved.' ) ?></p></div>
  • wp-admin/ms-users.php

     
    44if ( !is_multisite() )
    55        wp_die( __( 'Multisite support is not enabled.' ) );
    66
    7 $title = __( 'Users' );
    8 $parent_file = 'ms-admin.php';
     7if ( ! current_user_can( 'manage_network_users' ) )
     8        wp_die( __( 'You do not have permission to access this page.' ) );
    99
    1010wp_enqueue_script( 'admin-forms' );
    1111
     12$title = __( 'Users' );
     13$parent_file = 'ms-admin.php';
    1214require_once( './admin-header.php' );
    1315
    14 if ( ! current_user_can( 'manage_network_users' ) )
    15         wp_die( __( 'You do not have permission to access this page.' ) );
    1616
    1717if ( isset( $_GET['updated'] ) && $_GET['updated'] == 'true' && ! empty( $_GET['action'] ) ) {
    1818        ?>