Make WordPress Core

Ticket #17552: 17552.3.patch

File 17552.3.patch, 8.0 KB (added by DrewAPicture, 9 years ago)

Query args sanity + self_admin_url()

  • src/wp-admin/plugin-editor.php

     
    3636        exit;
    3737}
    3838
    39 if ( $file ) {
    40         $plugin = $file;
    41 } elseif ( empty( $plugin ) ) {
    42         $plugin = array_keys($plugins);
    43         $plugin = $plugin[0];
     39if ( empty( $plugin ) ) {
     40        if ( $file ) {
     41                $plugin = $file;
     42        } elseif ( empty( $plugin ) ) {
     43                $plugin = array_keys($plugins);
     44                $plugin = $plugin[0];
     45        }
    4446}
    4547
    4648$plugin_files = get_plugin_files($plugin);
     
    5860
    5961        check_admin_referer('edit-plugin_' . $file);
    6062
    61         $newcontent = wp_unslash( $_POST['newcontent'] );
    62         if ( is_writeable($real_file) ) {
    63                 $f = fopen($real_file, 'w+');
    64                 fwrite($f, $newcontent);
    65                 fclose($f);
     63        // Shared redirect arguments.
     64        $redirect_args = array(
     65                'file'     => $file,
     66                'plugin'   => $plugin,
     67                'scrollto' => $scrollto,
     68        );
    6669
    67                 $network_wide = is_plugin_active_for_network( $file );
     70        if ( is_writeable( $real_file ) ) {
     71                $newcontent = wp_unslash( $_POST['newcontent'] );
    6872
     73                file_put_contents( $real_file, $newcontent );
     74
     75                $network_wide = is_plugin_active_for_network( $plugin );
     76        // @TODO: Network Wide activated plugins do not go through this lint check
     77
    6978                // Deactivate so we can test it.
    70                 if ( is_plugin_active($file) || isset($_POST['phperror']) ) {
    71                         if ( is_plugin_active($file) )
    72                                 deactivate_plugins($file, true);
     79                if ( is_plugin_active( $plugin ) || isset($_POST['phperror'] ) ) {
     80                        if ( is_plugin_active( $plugin ) )
     81                                deactivate_plugins( $plugin, true );
    7382
    7483                        if ( ! is_network_admin() ) {
    75                                 update_option( 'recently_activated', array( $file => time() ) + (array) get_option( 'recently_activated' ) );
     84                                update_option( 'recently_activated', array( $plugin => time() ) + (array) get_option( 'recently_activated' ) );
    7685                        } else {
    77                                 update_network_option( 'recently_activated', array( $file => time() ) + (array) get_network_option( 'recently_activated' ) );
     86                                update_network_option( 'recently_activated', array( $plugin => time() ) + (array) get_network_option( 'recently_activated' ) );
    7887                        }
    7988
    80                         wp_redirect(add_query_arg('_wpnonce', wp_create_nonce('edit-plugin-test_' . $file), "plugin-editor.php?file=$file&liveupdate=1&scrollto=$scrollto&networkwide=" . $network_wide));
     89                        $redirect_args = array_merge( $redirect_args, array(
     90                                'liveupdate'  => 1,
     91                                'networkwide' => $network_wide,
     92                                '_wpnonce'    => wp_create_nonce( "edit-plugin-test_{$file}" ),
     93                        ) );
     94
     95                        wp_redirect( add_query_arg( $redirect_args, self_admin_url( 'plugin-editor.php' )  ) );
    8196                        exit;
    8297                }
    83                 wp_redirect( self_admin_url("plugin-editor.php?file=$file&a=te&scrollto=$scrollto") );
     98
     99                $redirect_args = array_merge( $redirect_args, array( 'updated'  => 1 ) );
     100                wp_redirect( add_query_arg( $redirect_args, self_admin_url( 'plugin-editor.php' ) ) );
    84101        } else {
    85                 wp_redirect( self_admin_url("plugin-editor.php?file=$file&scrollto=$scrollto") );
     102                wp_redirect( add_query_arg( $redirect_args, self_admin_url( 'plugin-editor.php' ) ) );
    86103        }
    87104        exit;
    88105
    89106default:
    90107
     108        // Shared redirect arguments.
     109        $redirect_args = array(
     110                'file'     => $file,
     111                'plugin'   => $plugin,
     112        );
     113
    91114        if ( isset($_GET['liveupdate']) ) {
    92115                check_admin_referer('edit-plugin-test_' . $file);
    93116
    94                 $error = validate_plugin($file);
     117                $error = validate_plugin( $plugin );
    95118                if ( is_wp_error($error) )
    96119                        wp_die( $error );
    97120
    98                 if ( ( ! empty( $_GET['networkwide'] ) && ! is_plugin_active_for_network($file) ) || ! is_plugin_active($file) )
    99                         activate_plugin($file, "plugin-editor.php?file=$file&phperror=1", ! empty( $_GET['networkwide'] ) ); // we'll override this later if the plugin can be included without fatal error
     121                if ( ( ! empty( $_GET['networkwide'] ) && ! is_plugin_active_for_network( $plugin ) ) | is_plugin_active( $plugin ) ) {
    100122
    101                 wp_redirect( self_admin_url("plugin-editor.php?file=$file&a=te&scrollto=$scrollto") );
     123                        // we'll override this later if the plugin can be included without fatal error
     124                        $redirect_args = array_merge( $redirect_args, array( 'phperror' => 1 ) );
     125                        activate_plugin( $plugin, add_query_arg( $redirect_args, self_admin_url( 'plugin-editor.php' ) ), ! empty( $_GET['networkwide'] ) );
     126                }
     127
     128                $redirect_args = array_merge( $redirect_args, array(
     129                        'scrollto' => $scrollto,
     130                        'updated'  => 1
     131                );
     132                wp_redirect( add_query_arg( $redirect_args, self_admin_url( 'plugin-editor.php' ) ) );
    102133                exit;
    103134        }
    104135
     
    115146        $editable_extensions = (array) apply_filters( 'editable_extensions', $editable_extensions );
    116147
    117148        if ( ! is_file($real_file) ) {
    118                 wp_die(sprintf('<p>%s</p>', __('No such file exists! Double check the name and try again.')));
     149                wp_die(  __( 'No such file exists! Double check the name and try again.' ) );
    119150        } else {
    120151                // Get the extension of the file
    121152                if ( preg_match('/\.([^.]+)$/', $real_file, $matches) ) {
     
    122153                        $ext = strtolower($matches[1]);
    123154                        // If extension is not in the acceptable list, skip it
    124155                        if ( !in_array( $ext, $editable_extensions) )
    125                                 wp_die(sprintf('<p>%s</p>', __('Files of this type are not editable.')));
     156                                wp_die( __( 'Files of this type are not editable.' ) );
    126157                }
    127158        }
    128159
     
    147178
    148179        require_once(ABSPATH . 'wp-admin/admin-header.php');
    149180
    150         update_recently_edited(WP_PLUGIN_DIR . '/' . $file);
     181        update_recently_edited( WP_PLUGIN_DIR . '/' . $plugin );
    151182
    152183        $content = file_get_contents( $real_file );
    153184
     
    166197
    167198        $content = esc_textarea( $content );
    168199        ?>
    169 <?php if (isset($_GET['a'])) : ?>
     200<?php if ( isset( $_GET['updated'] ) ) : ?>
    170201 <div id="message" class="updated notice is-dismissible"><p><?php _e('File edited successfully.') ?></p></div>
    171202<?php elseif (isset($_GET['phperror'])) : ?>
    172203 <div id="message" class="updated"><p><?php _e('This plugin has been deactivated because your changes resulted in a <strong>fatal error</strong>.') ?></p>
    173204        <?php
    174                 if ( wp_verify_nonce($_GET['_error_nonce'], 'plugin-activation-error_' . $file) ) { ?>
    175         <iframe style="border:0" width="100%" height="70px" src="<?php bloginfo('wpurl'); ?>/wp-admin/plugins.php?action=error_scrape&amp;plugin=<?php echo esc_attr($file); ?>&amp;_wpnonce=<?php echo esc_attr($_GET['_error_nonce']); ?>"></iframe>
    176         <?php } ?>
     205        if ( wp_verify_nonce($_GET['_error_nonce'], 'plugin-activation-error_' . $plugin ) ) :
     206                //@TODO: Is this Network Admin safe? (admin_url()) ?>
     207                <iframe style="border:0" width="100%" height="70px" src="<?php echo admin_url('plugins.php?action=error_scrape&plugin=' . urlencode($plugin) . '&_wpnonce=' . urlencode($_GET['_error_nonce']) ); ?>"></iframe>
     208        <?php endif; ?>
    177209</div>
    178210<?php endif; ?>
    179211<div class="wrap">
     
    182214<div class="fileedit-sub">
    183215<div class="alignleft">
    184216<big><?php
    185         if ( is_plugin_active( $plugin ) ) {
     217        if ( is_plugin_active( $plugin ) || is_plugin_active_for_network( $plugin ) ) {
    186218                if ( is_writeable( $real_file ) ) {
    187219                        /* translators: %s: plugin file name */
    188220                        echo sprintf( __( 'Editing %s (active)' ), '<strong>' . $file . '</strong>' );
     
    257289                <div id="documentation" class="hide-if-no-js"><label for="docs-list"><?php _e('Documentation:') ?></label> <?php echo $docs_select ?> <input type="button" class="button" value="<?php esc_attr_e( 'Look Up' ) ?> " onclick="if ( '' != jQuery('#docs-list').val() ) { window.open( 'https://api.wordpress.org/core/handbook/1.0/?function=' + escape( jQuery( '#docs-list' ).val() ) + '&amp;locale=<?php echo urlencode( get_locale() ) ?>&amp;version=<?php echo urlencode( $wp_version ) ?>&amp;redirect=true'); }" /></div>
    258290                <?php endif; ?>
    259291<?php if ( is_writeable($real_file) ) : ?>
    260         <?php if ( in_array( $file, (array) get_option( 'active_plugins', array() ) ) ) { ?>
     292        <?php if ( s_plugin_active( $plugin ) || is_plugin_active_for_network( $plugin ) ) : ?>
    261293                <p><?php _e('<strong>Warning:</strong> Making changes to active plugins is not recommended. If your changes cause a fatal error, the plugin will be automatically deactivated.'); ?></p>
    262         <?php } ?>
     294        <?php endif; ?>
    263295        <p class="submit">
    264296        <?php
    265297                if ( isset($_GET['phperror']) ) {