WordPress.org

Make WordPress Core

Ticket #20774: 20774.noquicklinks.diff

File 20774.noquicklinks.diff, 4.3 KB (added by martythornley, 22 months ago)

Removed quicklinks. Removed 'unspamming" of sites. added an int_val check on posted user ids

  • wp-admin/network/users.php

     
    8888 
    8989if ( isset( $_GET['action'] ) ) { 
    9090        do_action( 'wpmuadminedit' , '' ); 
     91         
     92        $mark_sites_for_spam_user = apply_filters( 'mark_sites_for_spam_user' , false , $val ); 
    9193 
    9294        switch ( $_GET['action'] ) { 
     95 
    9396                case 'deleteuser': 
    9497                        if ( ! current_user_can( 'manage_network_users' ) ) 
    9598                                wp_die( __( 'You do not have permission to access this page.' ) ); 
    96  
    9799                        check_admin_referer( 'deleteuser' ); 
    98100 
    99101                        $id = intval( $_GET['id'] ); 
     
    111113                        } 
    112114                        exit(); 
    113115                break; 
     116                 
     117                case 'spamuser': 
     118                         
     119                        if ( ! current_user_can( 'edit_users' ) )  
     120                                wp_die( __( 'You do not have permission to access this page.' ) );  
     121                        check_admin_referer( 'spamuser' ); 
     122                         
     123                        $id = intval( $_GET['id'] );                     
     124                        $user = get_userdata( $id ); 
     125                        if ( false === $user || is_super_admin( $user->ID ) )  
     126                                continue; 
     127                                 
     128                        $blogs = get_blogs_of_user( $id, true ); 
     129                        if ( $mark_sites_for_spam_user ) { 
     130                         
     131                                foreach ( (array) $blogs as $key => $details ) { 
     132                                        // do not mark main site 
     133                                        if ( $details->userblog_id == $current_site->blog_id ) 
     134                                                continue; 
     135                                        // only if admin email is same as user 
     136                                        if (  $user->data->user_email != get_blog_option ( $details->userblog_id , 'admin_email' ) ) 
     137                                                continue; 
     138                                        update_blog_status( $details->userblog_id, 'spam', '1' ); 
     139                                } 
     140                        } 
     141                        update_user_status( $id, 'spam', '1' ); 
     142                        wp_safe_redirect( add_query_arg( array( 'updated' => 'true', 'action' => $userfunction ), wp_get_referer() ) ); 
     143                 
     144                break; 
     145                 
     146                case 'unspamuser' :      
     147                         
     148                        if ( ! current_user_can( 'edit_users' ) )  
     149                                wp_die( __( 'You do not have permission to access this page.' ) );  
     150                        check_admin_referer( 'unspamuser' ); 
     151                         
     152                        $id = intval( $_GET['id'] ); 
     153                        $user = get_userdata( $id ); 
     154                        if ( false === $user || is_super_admin( $user->ID ) )  
     155                                continue; 
    114156 
     157                        update_user_status( $id, 'spam', '0' ); 
     158                        wp_safe_redirect( add_query_arg( array( 'updated' => 'true', 'action' => $userfunction ), wp_get_referer() ) ); 
     159 
     160                break; 
     161                 
    115162                case 'allusers': 
    116163                        if ( !current_user_can( 'manage_network_users' ) ) 
    117164                                wp_die( __( 'You do not have permission to access this page.' ) ); 
     
    123170                                $userfunction = ''; 
    124171 
    125172                                foreach ( (array) $_POST['allusers'] as $key => $val ) { 
     173                         
    126174                                        if ( !empty( $val ) ) { 
     175                                 
     176                                                $user = get_userdata( intval( $val ) ); 
     177 
     178                                                if ( false === $user || is_super_admin( $user->ID ) )  
     179                                                        continue; 
     180 
    127181                                                switch ( $doaction ) { 
    128182                                                        case 'delete': 
    129183                                                                if ( ! current_user_can( 'delete_users' ) ) 
     
    139193                                                        break; 
    140194 
    141195                                                        case 'spam': 
    142                                                                 $user = get_userdata( $val ); 
    143                                                                 if ( is_super_admin( $user->ID ) ) 
    144                                                                         wp_die( sprintf( __( 'Warning! User cannot be modified. The user %s is a network administrator.' ), esc_html( $user->user_login ) ) ); 
    145  
     196                                                                if ( ! current_user_can( 'edit_users' ) )  
     197                                                                        wp_die( __( 'You do not have permission to access this page.' ) );  
    146198                                                                $userfunction = 'all_spam'; 
    147199                                                                $blogs = get_blogs_of_user( $val, true ); 
    148                                                                 foreach ( (array) $blogs as $key => $details ) { 
    149                                                                         if ( $details->userblog_id != $current_site->blog_id ) // main blog not a spam ! 
     200                                                                if ( $mark_sites_for_spam_user ) { 
     201                                                                        foreach ( (array) $blogs as $key => $details ) { 
     202                                                                                // do not mark main site 
     203                                                                                if ( $details->userblog_id == $current_site->blog_id ) 
     204                                                                                        continue; 
     205                                                                                // only if admin email is same as user 
     206                                                                                if (  $user->data->user_email != get_blog_option ( $details->userblog_id , 'admin_email' ) ) 
     207                                                                                        continue; 
    150208                                                                                update_blog_status( $details->userblog_id, 'spam', '1' ); 
     209                                                                        } 
    151210                                                                } 
    152211                                                                update_user_status( $val, 'spam', '1' ); 
    153212                                                        break; 
    154213 
    155214                                                        case 'notspam': 
     215                                                                if ( ! current_user_can( 'edit_users' ) )  
     216                                                                        wp_die( __( 'You do not have permission to access this page.' ) );  
    156217                                                                $userfunction = 'all_notspam'; 
    157                                                                 $blogs = get_blogs_of_user( $val, true ); 
    158                                                                 foreach ( (array) $blogs as $key => $details ) 
    159                                                                         update_blog_status( $details->userblog_id, 'spam', '0' ); 
    160218 
    161219                                                                update_user_status( $val, 'spam', '0' ); 
    162220                                                        break;