WordPress.org

Make WordPress Core

Ticket #20774: 20774.noquicklinks.diff

File 20774.noquicklinks.diff, 4.3 KB (added by martythornley, 5 years ago)

Removed quicklinks. Removed 'unspamming" of sites. added an int_val check on posted user ids

  • wp-admin/network/users.php

     
    8888
    8989if ( isset( $_GET['action'] ) ) {
    9090        do_action( 'wpmuadminedit' , '' );
     91       
     92        $mark_sites_for_spam_user = apply_filters( 'mark_sites_for_spam_user' , false , $val );
    9193
    9294        switch ( $_GET['action'] ) {
     95
    9396                case 'deleteuser':
    9497                        if ( ! current_user_can( 'manage_network_users' ) )
    9598                                wp_die( __( 'You do not have permission to access this page.' ) );
    96 
    9799                        check_admin_referer( 'deleteuser' );
    98100
    99101                        $id = intval( $_GET['id'] );
     
    111113                        }
    112114                        exit();
    113115                break;
     116               
     117                case 'spamuser':
     118                       
     119                        if ( ! current_user_can( 'edit_users' ) )
     120                                wp_die( __( 'You do not have permission to access this page.' ) );
     121                        check_admin_referer( 'spamuser' );
     122                       
     123                        $id = intval( $_GET['id'] );                   
     124                        $user = get_userdata( $id );
     125                        if ( false === $user || is_super_admin( $user->ID ) )
     126                                continue;
     127                               
     128                        $blogs = get_blogs_of_user( $id, true );
     129                        if ( $mark_sites_for_spam_user ) {
     130                       
     131                                foreach ( (array) $blogs as $key => $details ) {
     132                                        // do not mark main site
     133                                        if ( $details->userblog_id == $current_site->blog_id )
     134                                                continue;
     135                                        // only if admin email is same as user
     136                                        if (  $user->data->user_email != get_blog_option ( $details->userblog_id , 'admin_email' ) )
     137                                                continue;
     138                                        update_blog_status( $details->userblog_id, 'spam', '1' );
     139                                }
     140                        }
     141                        update_user_status( $id, 'spam', '1' );
     142                        wp_safe_redirect( add_query_arg( array( 'updated' => 'true', 'action' => $userfunction ), wp_get_referer() ) );
     143               
     144                break;
     145               
     146                case 'unspamuser' :     
     147                       
     148                        if ( ! current_user_can( 'edit_users' ) )
     149                                wp_die( __( 'You do not have permission to access this page.' ) );
     150                        check_admin_referer( 'unspamuser' );
     151                       
     152                        $id = intval( $_GET['id'] );
     153                        $user = get_userdata( $id );
     154                        if ( false === $user || is_super_admin( $user->ID ) )
     155                                continue;
    114156
     157                        update_user_status( $id, 'spam', '0' );
     158                        wp_safe_redirect( add_query_arg( array( 'updated' => 'true', 'action' => $userfunction ), wp_get_referer() ) );
     159
     160                break;
     161               
    115162                case 'allusers':
    116163                        if ( !current_user_can( 'manage_network_users' ) )
    117164                                wp_die( __( 'You do not have permission to access this page.' ) );
     
    123170                                $userfunction = '';
    124171
    125172                                foreach ( (array) $_POST['allusers'] as $key => $val ) {
     173                       
    126174                                        if ( !empty( $val ) ) {
     175                               
     176                                                $user = get_userdata( intval( $val ) );
     177
     178                                                if ( false === $user || is_super_admin( $user->ID ) )
     179                                                        continue;
     180
    127181                                                switch ( $doaction ) {
    128182                                                        case 'delete':
    129183                                                                if ( ! current_user_can( 'delete_users' ) )
     
    139193                                                        break;
    140194
    141195                                                        case 'spam':
    142                                                                 $user = get_userdata( $val );
    143                                                                 if ( is_super_admin( $user->ID ) )
    144                                                                         wp_die( sprintf( __( 'Warning! User cannot be modified. The user %s is a network administrator.' ), esc_html( $user->user_login ) ) );
    145 
     196                                                                if ( ! current_user_can( 'edit_users' ) )
     197                                                                        wp_die( __( 'You do not have permission to access this page.' ) );
    146198                                                                $userfunction = 'all_spam';
    147199                                                                $blogs = get_blogs_of_user( $val, true );
    148                                                                 foreach ( (array) $blogs as $key => $details ) {
    149                                                                         if ( $details->userblog_id != $current_site->blog_id ) // main blog not a spam !
     200                                                                if ( $mark_sites_for_spam_user ) {
     201                                                                        foreach ( (array) $blogs as $key => $details ) {
     202                                                                                // do not mark main site
     203                                                                                if ( $details->userblog_id == $current_site->blog_id )
     204                                                                                        continue;
     205                                                                                // only if admin email is same as user
     206                                                                                if (  $user->data->user_email != get_blog_option ( $details->userblog_id , 'admin_email' ) )
     207                                                                                        continue;
    150208                                                                                update_blog_status( $details->userblog_id, 'spam', '1' );
     209                                                                        }
    151210                                                                }
    152211                                                                update_user_status( $val, 'spam', '1' );
    153212                                                        break;
    154213
    155214                                                        case 'notspam':
     215                                                                if ( ! current_user_can( 'edit_users' ) )
     216                                                                        wp_die( __( 'You do not have permission to access this page.' ) );
    156217                                                                $userfunction = 'all_notspam';
    157                                                                 $blogs = get_blogs_of_user( $val, true );
    158                                                                 foreach ( (array) $blogs as $key => $details )
    159                                                                         update_blog_status( $details->userblog_id, 'spam', '0' );
    160218
    161219                                                                update_user_status( $val, 'spam', '0' );
    162220                                                        break;