WordPress.org

Make WordPress Core

Ticket #12460: 12460_small.patch

File 12460_small.patch, 12.8 KB (added by ocean90, 4 years ago)

wp_die() over include('admin_header.php'); overhauled ms-admin.php, don't allow to change the status of the main site

  • wp-admin/ms-admin.php

     
    11<?php 
    2 require_once('admin.php'); 
     2require_once( 'admin.php' ); 
    33 
    44if ( !is_multisite() ) 
    5         wp_die( __('Multisite support is not enabled.') ); 
     5        wp_die( __( 'Multisite support is not enabled.' ) ); 
    66 
    7 $title = __('Network Admin'); 
    8 $parent_file = 'ms-admin.php'; 
     7if ( ! current_user_can( 'manage_network' ) ) 
     8        wp_die( __( 'You do not have permission to access this page.' ) ); 
    99 
    1010function index_css() { 
    1111        wp_admin_css( 'css/dashboard' ); 
    1212} 
    1313add_action( 'admin_head', 'index_css' ); 
    1414 
    15 require_once('admin-header.php'); 
     15$title = __( 'Network Admin' ); 
     16$parent_file = 'ms-admin.php'; 
     17require_once( 'admin-header.php' ); 
    1618 
    17 if ( ! current_user_can( 'manage_network' ) ) 
    18         wp_die( __('You do not have permission to access this page.') ); 
    19  
    20 global $wpdb; 
    2119$c_users = get_user_count(); 
    2220$c_blogs = get_blog_count(); 
    2321 
     
    3230        <h2><?php echo esc_html( $title ); ?></h2> 
    3331 
    3432        <ul class="subsubsub"> 
    35         <li><a href="ms-sites.php#form-add-blog" class="rbutton"><strong><?php _e('Create a New Site'); ?></strong></a> | </li> 
    36         <li><a href="ms-users.php#form-add-user" class="rbutton"><?php _e('Create a New User'); ?></a></li> 
     33        <li><a href="<?php echo esc_url( admin_url( 'ms-sites.php#form-add-site' ) ); ?>" class="rbutton"><strong><?php _e( 'Create a New Site' ); ?></strong></a> | </li> 
     34        <li><a href="<?php echo esc_url( admin_url( 'ms-users.php#form-add-user' ) ); ?>" class="rbutton"><?php _e( 'Create a New User' ); ?></a></li> 
    3735        </ul> 
    38         <br clear='all' /> 
     36        <br clear="all" /> 
    3937 
    4038        <p class="youhave"><?php echo $sentence; ?></p> 
    41         <?php do_action('wpmuadminresult', ''); ?> 
     39        <?php do_action( 'wpmuadminresult', '' ); ?> 
    4240 
    43         <form name="searchform" action="ms-users.php" method="get"> 
     41        <form name="searchform" action="<?php echo esc_url( admin_url( 'ms-users.php' ) ); ?>" method="get"> 
    4442                <p> 
    4543                        <input type="hidden" name="action" value="users" /> 
    4644                        <input type="text" name="s" value="" size="17" /> 
    47                         <input class="button" type="submit" name="submit" value="<?php esc_attr_e("Search Users"); ?>" /> 
     45                        <input class="button" type="submit" name="submit" value="<?php esc_attr_e( 'Search Users' ); ?>" /> 
    4846                </p> 
    4947        </form> 
    5048 
    51         <form name="searchform" action="ms-sites.php" method="get"> 
     49        <form name="searchform" action="<?php echo esc_url( admin_url( 'ms-sites.php' ) ); ?>" method="get"> 
    5250                <p> 
    5351                        <input type="hidden" name="action" value="blogs" /> 
    5452                        <input type="text" name="s" value="" size="17" /> 
    55                         <input class="button" type="submit" name="blog_name" value="<?php esc_attr_e("Search Sites"); ?>" /> 
     53                        <input class="button" type="submit" name="blog_name" value="<?php esc_attr_e( 'Search Sites' ); ?>" /> 
    5654                </p> 
    5755        </form> 
    5856 
     
    6159        </div><!-- rightnow --> 
    6260</div> 
    6361 
    64 <?php include('admin-footer.php'); ?> 
     62<?php include( 'admin-footer.php' ); ?> 
  • wp-admin/ms-delete-site.php

     
    1717        } 
    1818} 
    1919 
    20 $action = isset( $_POST['action'] ) ? $_POST['action'] : 'splash'; 
    21  
    2220$title = __( 'Delete Site' ); 
    2321$parent_file = 'tools.php'; 
    2422require_once( './admin-header.php' ); 
  • wp-admin/ms-edit.php

     
    465465                        nocache_headers(); 
    466466                        header( 'Content-Type: text/html; charset=utf-8' ); 
    467467                } 
    468                 if ( $current_site->blog_id == $id )     
     468                if ( $current_site->blog_id == $id && 'matureblog' != $_GET['action2'] && 'unmatureblog' != $_GET['action2']  )  
    469469                        wp_die( __( 'You are not allowed to change the current site.' ) ); 
    470470                ?> 
    471471                <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 
  • wp-admin/ms-options.php

     
    44if ( !is_multisite() ) 
    55        wp_die( __( 'Multisite support is not enabled.' ) ); 
    66 
     7if ( ! current_user_can( 'manage_network_options' ) ) 
     8    wp_die( __( 'You do not have permission to access this page.' ) ); 
     9 
    710$title = __( 'Network Options' ); 
    811$parent_file = 'ms-admin.php'; 
    9  
    1012include( './admin-header.php' ); 
    1113 
    12 if ( ! current_user_can( 'manage_network_options' ) ) 
    13     wp_die( __( 'You do not have permission to access this page.' ) ); 
    14  
    1514if (isset($_GET['updated'])) { 
    1615        ?> 
    1716        <div id="message" class="updated fade"><p><?php _e( 'Options saved.' ) ?></p></div> 
  • wp-admin/ms-sites.php

     
    44if ( !is_multisite() ) 
    55        wp_die( __( 'Multisite support is not enabled.' ) ); 
    66 
    7 $title = __( 'Sites' ); 
    8 $parent_file = 'ms-admin.php'; 
     7if ( ! current_user_can( 'manage_sites' ) ) 
     8        wp_die( __( 'You do not have permission to access this page.' ) ); 
    99 
    1010wp_enqueue_script( 'admin-forms' ); 
    1111 
     12$title = __( 'Sites' ); 
     13$parent_file = 'ms-admin.php'; 
    1214require_once( './admin-header.php' ); 
    1315 
    14 if ( ! current_user_can( 'manage_sites' ) ) 
    15         wp_die( __( 'You do not have permission to access this page.' ) ); 
    16  
    1716$id = isset( $_GET['id'] ) ? intval( $_GET['id'] ) : 0; 
    1817 
    1918if ( isset( $_GET['updated'] ) && $_GET['updated'] == 'true' && ! empty( $_GET['action'] ) ) { 
     
    125124                                                                <label><input type="radio" style="width:20px;" name="blog[public]" value="0" <?php checked( $details->public, 0 ); ?> /> <?php _e( 'No' ) ?></label> 
    126125                                                        </td> 
    127126                                                </tr> 
     127                                                <?php if ( !$is_main_site ) { ?> 
    128128                                                <tr class="form-field"> 
    129129                                                        <th scope="row"><?php _e( 'Archived' ); ?></th> 
    130130                                                        <td> 
     
    133133                                                        </td> 
    134134                                                </tr> 
    135135                                                <tr class="form-field"> 
    136                                                         <th scope="row"><?php _e( 'Mature' ); ?></th> 
    137                                                         <td> 
    138                                                                 <label><input type="radio" style="width:20px;" name="blog[mature]" value="1" <?php checked( $details->mature, 1 ); ?> /> <?php _e( 'Yes' ) ?></label> 
    139                                                                 <label><input type="radio" style="width:20px;" name="blog[mature]" value="0" <?php checked( $details->mature, 0); ?> /> <?php _e( 'No' ) ?></label> 
    140                                                         </td> 
    141                                                 </tr> 
    142                                                 <tr class="form-field"> 
    143136                                                        <th scope="row"><?php _e( 'Spam' ); ?></th> 
    144137                                                        <td> 
    145138                                                                <label><input type="radio" style="width:20px;" name="blog[spam]" value="1" <?php checked( $details->spam, 1 ); ?> /> <?php _e( 'Yes' ) ?></label> 
     
    153146                                                                <label><input type="radio" style="width:20px;" name="blog[deleted]" value="0" <?php checked( $details->deleted, 0 ); ?> /> <?php _e( 'No' ) ?></label> 
    154147                                                        </td> 
    155148                                                </tr> 
     149                                                <?php } ?> 
     150                                                <tr class="form-field"> 
     151                                                        <th scope="row"><?php _e( 'Mature' ); ?></th> 
     152                                                        <td> 
     153                                                                <label><input type="radio" style="width:20px;" name="blog[mature]" value="1" <?php checked( $details->mature, 1 ); ?> /> <?php _e( 'Yes' ) ?></label> 
     154                                                                <label><input type="radio" style="width:20px;" name="blog[mature]" value="0" <?php checked( $details->mature, 0); ?> /> <?php _e( 'No' ) ?></label> 
     155                                                        </td> 
     156                                                </tr> 
    156157                                        </table> 
    157158                                        <p class="submit" style="text-align:center;"><input type="submit" name="Submit" value="<?php esc_attr_e( 'Update Options' ) ?>" /></p> 
    158159                                </div> 
     
    557558                                                                                        $actions[]      = '<span class="activate"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=activateblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to activate the site %s" ), $blogname ) ) ) ) . '">' . __( 'Activate' ) . '</a></span>'; 
    558559                                                                                else 
    559560                                                                                        $actions[]      = '<span class="activate"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=deactivateblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to deactivate the site %s" ), $blogname ) ) ) ) . '">' . __( 'Deactivate' ) . '</a></span>'; 
    560          
     561 
    561562                                                                                if ( get_blog_status( $blog['blog_id'], 'archived' ) == '1' ) 
    562563                                                                                        $actions[]      = '<span class="archive"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=unarchiveblog&amp;id=' .  $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to unarchive the site %s." ), $blogname ) ) ) ) . '">' . __( 'Unarchive' ) . '</a></span>'; 
    563564                                                                                else 
    564565                                                                                        $actions[]      = '<span class="archive"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=archiveblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to archive the site %s." ), $blogname ) ) ) ) . '">' . __( 'Archive' ) . '</a></span>'; 
    565          
     566 
    566567                                                                                if ( get_blog_status( $blog['blog_id'], 'spam' ) == '1' ) 
    567568                                                                                        $actions[]      = '<span class="spam"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=unspamblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to unspam the site %s." ), $blogname ) ) ) ) . '">' . __( 'Not Spam' ) . '</a></span>'; 
    568569                                                                                else 
    569570                                                                                        $actions[]      = '<span class="spam"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=spamblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to mark the site %s as spam." ), $blogname ) ) ) ) . '">' . __( 'Spam' ) . '</a></span>'; 
    570          
    571                                                                                 if ( get_blog_status( $blog['blog_id'], 'mature' ) == '1' ) 
    572                                                                                         $actions[]      = '<span class="mature"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=unmatureblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to unmature the site %s." ), $blogname ) ) ) ) . '">' . __( 'Not Mature' ) . '</a></span>'; 
    573                                                                                 else 
    574                                                                                         $actions[]      = '<span class="mature"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=matureblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to mark the site %s as mature." ), $blogname ) ) ) ) . '">' . __( 'Mature' ) . '</a></span>'; 
    575          
     571 
    576572                                                                                $actions[]      = '<span class="delete"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=deleteblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to delete the site %s." ), $blogname ) ) ) ) . '">' . __( 'Delete' ) . '</a></span>'; 
    577573                                                                        } 
    578574 
     575                                                                        if ( get_blog_status( $blog['blog_id'], 'mature' ) == '1' ) 
     576                                                                                $actions[]      = '<span class="mature"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=unmatureblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to unmature the site %s." ), $blogname ) ) ) ) . '">' . __( 'Not Mature' ) . '</a></span>'; 
     577                                                                        else 
     578                                                                                $actions[]      = '<span class="mature"><a href="' . esc_url( admin_url( 'ms-edit.php?action=confirm&amp;action2=matureblog&amp;id=' . $blog['blog_id'] . '&amp;msg=' . urlencode( sprintf( __( "You are about to mark the site %s as mature." ), $blogname ) ) ) ) . '">' . __( 'Mature' ) . '</a></span>'; 
     579 
    579580                                                                        $actions[]      = "<span class='view'><a href='" . esc_url( get_home_url( $blog['blog_id'] ) ) . "' rel='permalink'>" . __( 'Visit' ) . '</a>'; 
    580581 
    581582                                                                        if ( count( $actions ) ) : ?> 
  • wp-admin/ms-themes.php

     
    11<?php 
    22require_once( './admin.php' ); 
    33 
     4if ( ! current_user_can( 'manage_network_themes' ) ) 
     5        wp_die( __( 'You do not have permission to access this page.' ) ); 
     6 
    47$title = __( 'Network Themes' ); 
    58$parent_file = 'ms-admin.php'; 
    69require_once( './admin-header.php' ); 
    710 
    8 if ( ! current_user_can( 'manage_network_themes' ) ) 
    9         wp_die( __( 'You do not have permission to access this page.' ) ); 
    10  
    1111if ( isset( $_GET['updated'] ) ) { 
    1212        ?> 
    1313        <div id="message" class="updated fade"><p><?php _e( 'Site themes saved.' ) ?></p></div> 
  • wp-admin/ms-users.php

     
    44if ( !is_multisite() ) 
    55        wp_die( __( 'Multisite support is not enabled.' ) ); 
    66 
    7 $title = __( 'Users' ); 
    8 $parent_file = 'ms-admin.php'; 
     7if ( ! current_user_can( 'manage_network_users' ) ) 
     8        wp_die( __( 'You do not have permission to access this page.' ) ); 
    99 
    1010wp_enqueue_script( 'admin-forms' ); 
    1111 
     12$title = __( 'Users' ); 
     13$parent_file = 'ms-admin.php'; 
    1214require_once( './admin-header.php' ); 
    1315 
    14 if ( ! current_user_can( 'manage_network_users' ) ) 
    15         wp_die( __( 'You do not have permission to access this page.' ) ); 
    1616 
    1717if ( isset( $_GET['updated'] ) && $_GET['updated'] == 'true' && ! empty( $_GET['action'] ) ) { 
    1818        ?>