Context Navigation

Back to Ticket #38609

Ticket #38609: 38609.1.diff

File 38609.1.diff, 18.8 KB (added by jnylen0, 9 years ago)
Fix post handling and add tests for posts

src/wp-includes/rest-api/endpoints/class-wp-rest-attachments-controller.php

diff --git a/src/wp-includes/rest-api/endpoints/class-wp-rest-attachments-controller.php b/src/wp-includes/rest-api/endpoints/class-wp-rest-attachments-controller.php
index 2749b12..74341db 100644

  class WP_REST_Attachments_Controller extends WP_REST_Posts_Controller {
                         $attachment->post_title = preg_replace( '/\.[^.]+$/', '', basename( $file ) );
+                }
                 $id = wp_insert_post( $attachment, true );
+                $id = wp_insert_post( wp_slash( $attachment ), true );
                 if ( is_wp_error( $id ) ) {
                         if ( 'db_update_error' === $id->get_error_code() ) {
-…
+ class WP_REST_Attachments_Controller extends WP_REST_Posts_Controller {
                         'description'     => __( 'The caption for the resource.' ),
                         'type'            => 'string',
                         'context'         => array( 'view', 'edit' ),
-                        'arg_options'     => array(
-                                'sanitize_callback' => 'wp_filter_post_kses',
-                        ),
                 );
                 $schema['properties']['description'] = array(
                         'description'     => __( 'The description for the resource.' ),
                         'type'            => 'string',
                         'context'         => array( 'view', 'edit' ),
-                        'arg_options'     => array(
-                                'sanitize_callback' => 'wp_filter_post_kses',
-                        ),
                 );
                 $schema['properties']['media_type'] = array(

src/wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php

diff --git a/src/wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php b/src/wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php
index 0122f9a..1408449 100644

a	b	class WP_REST_Posts_Controller extends WP_REST_Controller {
483	483	}
484	484
485	485	$post->post_type = $this->post_type;
486		$post_id = wp_insert_post( ~~$post~~, true );
	486	$post_id = wp_insert_post( wp_slash( (array) $post ), true );
487	487
488	488	if ( is_wp_error( $post_id ) ) {
489	489
…	…	class WP_REST_Posts_Controller extends WP_REST_Controller {
619	619	}
620	620
621	621	// convert the post object to an array, otherwise wp_update_post will expect non-escaped input.
622		$post_id = wp_update_post( ~~(array) $post~~, true );
	622	$post_id = wp_update_post( wp_slash( (array) $post ), true );
623	623
624	624	if ( is_wp_error( $post_id ) ) {
625	625	if ( 'db_update_error' === $post_id->get_error_code() ) {
…	…	class WP_REST_Posts_Controller extends WP_REST_Controller {
956	956	// Post title.
957	957	if ( ! empty( $schema['properties']['title'] ) && isset( $request['title'] ) ) {
958	958	if ( is_string( $request['title'] ) ) {
959		$prepared_post->post_title = ~~wp_filter_post_kses( $request['title'] )~~;
	959	$prepared_post->post_title = $request['title'];
960	960	} elseif ( ! empty( $request['title']['raw'] ) ) {
961		$prepared_post->post_title = ~~wp_filter_post_kses( $request['title']['raw'] )~~;
	961	$prepared_post->post_title = $request['title']['raw'];
962	962	}
963	963	}
964	964
965	965	// Post content.
966	966	if ( ! empty( $schema['properties']['content'] ) && isset( $request['content'] ) ) {
967	967	if ( is_string( $request['content'] ) ) {
968		$prepared_post->post_content = ~~wp_filter_post_kses( $request['content'] )~~;
	968	$prepared_post->post_content = $request['content'];
969	969	} elseif ( isset( $request['content']['raw'] ) ) {
970		$prepared_post->post_content = ~~wp_filter_post_kses( $request['content']['raw'] )~~;
	970	$prepared_post->post_content = $request['content']['raw'];
971	971	}
972	972	}
973	973
974	974	// Post excerpt.
975	975	if ( ! empty( $schema['properties']['excerpt'] ) && isset( $request['excerpt'] ) ) {
976	976	if ( is_string( $request['excerpt'] ) ) {
977		$prepared_post->post_excerpt = ~~wp_filter_post_kses( $request['excerpt'] )~~;
	977	$prepared_post->post_excerpt = $request['excerpt'];
978	978	} elseif ( isset( $request['excerpt']['raw'] ) ) {
979		$prepared_post->post_excerpt = ~~wp_filter_post_kses( $request['excerpt']['raw'] )~~;
	979	$prepared_post->post_excerpt = $request['excerpt']['raw'];
980	980	}
981	981	}
982	982

src/wp-includes/rest-api/endpoints/class-wp-rest-terms-controller.php

diff --git a/src/wp-includes/rest-api/endpoints/class-wp-rest-terms-controller.php b/src/wp-includes/rest-api/endpoints/class-wp-rest-terms-controller.php
index ceaa26b..70422d4 100644

  class WP_REST_Terms_Controller extends WP_REST_Controller {
                 $prepared_term = $this->prepare_item_for_database( $request );
                 $term = wp_insert_term( $prepared_term->name, $this->taxonomy, $prepared_term );
+                $term = wp_insert_term( $prepared_term->name, $this->taxonomy, wp_slash( $prepared_term ) );
                 if ( is_wp_error( $term ) ) {
                         /*
                          * If we're going to inform the client that the term already exists,
-…
+ class WP_REST_Terms_Controller extends WP_REST_Controller {
                 // Only update the term if we haz something to update.
                 if ( ! empty( $prepared_term ) ) {
                         $update = wp_update_term( $term->term_id, $term->taxonomy, (array) $prepared_term );
+                        $update = wp_update_term( $term->term_id, $term->taxonomy, wp_slash( (array) $prepared_term ) );
                         if ( is_wp_error( $update ) ) {
                                 return $update;
-…
+ class WP_REST_Terms_Controller extends WP_REST_Controller {
                                         'type'         => 'string',
                                         'context'      => array( 'view', 'edit' ),
                                         'arg_options'  => array(
                                                 'sanitize_callback' => 'wp_filter_post_kses',
+                                                'sanitize_callback' => 'wp_kses_post',
                                         ),
                                 ),
                                 'link'        => array(

src/wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php

diff --git a/src/wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php b/src/wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php
index bb3737d..8b0c2d7 100644

  class WP_REST_Users_Controller extends WP_REST_Controller {
+                        }
                         $user->ID = $user_id;
                         $user_id  = wp_update_user( $user );
+                        $user_id  = wp_update_user( wp_slash( $user ) );
                         if ( is_wp_error( $user_id ) ) {
                                 return $user_id;
+                        }
                 } else {
                         $user_id = wp_insert_user( $user );
+                        $user_id = wp_insert_user( wp_slash( $user ) );
                         if ( is_wp_error( $user_id ) ) {
                                 return $user_id;
-…
+ class WP_REST_Users_Controller extends WP_REST_Controller {
                 // Ensure we're operating on the same user we already checked.
                 $user->ID = $id;
                 $user_id = wp_update_user( $user );
+                $user_id = wp_update_user( wp_slash( $user ) );
                 if ( is_wp_error( $user_id ) ) {
                         return $user_id;
-…
+ class WP_REST_Users_Controller extends WP_REST_Controller {
                                         'type'        => 'string',
                                         'context'     => array( 'embed', 'view', 'edit' ),
                                         'arg_options' => array(
                                                 'sanitize_callback' => 'wp_filter_post_kses',
+                                                'sanitize_callback' => 'wp_kses_post',
                                         ),
                                 ),
                                 'link'        => array(

tests/phpunit/tests/rest-api/rest-posts-controller.php

diff --git a/tests/phpunit/tests/rest-api/rest-posts-controller.php b/tests/phpunit/tests/rest-api/rest-posts-controller.php
index dcebfe8..6df2626 100644

-                      a
 class WP_Test_REST_Posts_Controller extends WP_Test_REST_Post_Type_Controller_Testcase {
         protected static $post_id;
+        protected static $superadmin_id;
         protected static $editor_id;
         protected static $author_id;
         protected static $contributor_id;
-…
+ class WP_Test_REST_Posts_Controller extends WP_Test_REST_Post_Type_Controller_Te
         public static function wpSetUpBeforeClass( $factory ) {
                 self::$post_id = $factory->post->create();
+                self::$superadmin_id = $factory->user->create( array(
+                        'role' => 'administrator',
+                        'user_login' => 'superadmin',
+                ) );
                 self::$editor_id = $factory->user->create( array(
                         'role' => 'editor',
                 ) );
-…
+ class WP_Test_REST_Posts_Controller extends WP_Test_REST_Post_Type_Controller_Te
         public function setUp() {
                 parent::setUp();
                 register_post_type( 'youseeme', array( 'supports' => array(), 'show_in_rest' => true ) );
+                if ( is_multisite() ) {
+                        update_site_option( 'site_admins', array( 'superadmin' ) );
+                }
+        }
         public function test_register_routes() {
-…
+ class WP_Test_REST_Posts_Controller extends WP_Test_REST_Post_Type_Controller_Te
                 $this->assertEquals( array(), $new_data['categories'] );
+        }
+        public function verify_post_roundtrip( $input = array(), $expected_output = array() ) {
+                // Create the post
+                $request = new WP_REST_Request( 'POST', '/wp/v2/posts' );
+                foreach ( $input as $name => $value ) {
+                        $request->set_param( $name, $value );
+                }
+                $response = $this->server->dispatch( $request );
+                $this->assertEquals( 201, $response->get_status() );
+                $expected_output = array_merge( $input, $expected_output );
+                $actual_output = $response->get_data();
+                $actual_output['content'] = $actual_output['content']['raw'];
+                $actual_output['title'] = $actual_output['title']['raw'];
+                $actual_output['excerpt'] = $actual_output['excerpt']['raw'];
+                // Compare expected API output to actual API output
+                foreach ( $expected_output as $name => $value ) {
+                        $this->assertEquals( $expected_output[ $name ], $actual_output[ $name ], "bad $name on create (API)" );
+                }
+                // Compare expected API output to WP internal values
+                $post = get_post( $actual_output['id'] );
+                $this->assertEquals( $expected_output['title'], $post->post_title, 'bad title on create (WP)' );
+                $this->assertEquals( $expected_output['content'], $post->post_content, 'bad content on create (WP)' );
+                $this->assertEquals( $expected_output['excerpt'], $post->post_excerpt, 'bad excerpt on create (WP)' );
+                // Update the post
+                $request = new WP_REST_Request( 'PUT', sprintf( '/wp/v2/posts/%d', $actual_output['id'] ) );
+                foreach ( $input as $name => $value ) {
+                        $request->set_param( $name, $value );
+                }
+                $response = $this->server->dispatch( $request );
+                $this->assertEquals( 200, $response->get_status() );
+                $actual_output = $response->get_data();
+                $actual_output['content'] = $actual_output['content']['raw'];
+                $actual_output['title'] = $actual_output['title']['raw'];
+                $actual_output['excerpt'] = $actual_output['excerpt']['raw'];
+                // Compare expected API output to actual API output
+                foreach ( $expected_output as $name => $value ) {
+                        $this->assertEquals( $expected_output[ $name ], $actual_output[ $name ], "bad $name on update (API)" );
+                }
+                // Compare expected API output to WP internal values
+                $post = get_post( $actual_output['id'] );
+                $this->assertEquals( $expected_output['title'], $post->post_title, 'bad title on update (WP)' );
+                $this->assertEquals( $expected_output['content'], $post->post_content, 'bad content on update (WP)' );
+                $this->assertEquals( $expected_output['excerpt'], $post->post_excerpt, 'bad excerpt on update (WP)' );
+        }
+        public function test_post_roundtrip_as_author_1() {
+                wp_set_current_user( self::$author_id );
+                $this->assertFalse( current_user_can( 'unfiltered_html' ) );
+                $this->verify_post_roundtrip( array(
+                        'title'   => '\o/ ¯\_(ツ)_/¯ 🚢',
+                        'content' => '\o/ ¯\_(ツ)_/¯ 🚢',
+                        'excerpt' => '\o/ ¯\_(ツ)_/¯ 🚢',
+                ) );
+        }
+        public function test_post_roundtrip_as_author_2() {
+                wp_set_current_user( self::$author_id );
+                $this->assertFalse( current_user_can( 'unfiltered_html' ) );
+                $this->verify_post_roundtrip( array(
+                        'title'   => '\\\&\\\ &amp; &invalid; < &lt; &amp;lt;',
+                        'content' => '\\\&\\\ &amp; &invalid; < &lt; &amp;lt;',
+                        'excerpt' => '\\\&\\\ &amp; &invalid; < &lt; &amp;lt;',
+                ), array(
+                        'title'   => '\\\&amp;\\\ &amp; &amp;invalid; &lt; &lt; &amp;lt;',
+                        'content' => '\\\&amp;\\\ &amp; &amp;invalid; &lt; &lt; &amp;lt;',
+                        'excerpt' => '\\\&amp;\\\ &amp; &amp;invalid; &lt; &lt; &amp;lt;',
+                ) );
+        }
+        public function test_post_roundtrip_as_author_unfiltered_html_1() {
+                wp_set_current_user( self::$author_id );
+                $this->assertFalse( current_user_can( 'unfiltered_html' ) );
+                $this->verify_post_roundtrip( array(
+                        'title'   => '<div>div</div> <strong>strong</strong> <script>oh noes</script>',
+                        'content' => '<div>div</div> <strong>strong</strong> <script>oh noes</script>',
+                        'excerpt' => '<div>div</div> <strong>strong</strong> <script>oh noes</script>',
+                ), array(
+                        'title'   => 'div <strong>strong</strong> oh noes',
+                        'content' => '<div>div</div> <strong>strong</strong> oh noes',
+                        'excerpt' => '<div>div</div> <strong>strong</strong> oh noes',
+                ) );
+        }
+        public function test_post_roundtrip_as_author_unfiltered_html_2() {
+                wp_set_current_user( self::$author_id );
+                $this->assertFalse( current_user_can( 'unfiltered_html' ) );
+                $this->verify_post_roundtrip( array(
+                        'title'   => '<a href="#" target="_blank" data-unfiltered=true>link</a>',
+                        'content' => '<a href="#" target="_blank" data-unfiltered=true>link</a>',
+                        'excerpt' => '<a href="#" target="_blank" data-unfiltered=true>link</a>',
+                ), array(
+                        'title'   => '<a href="#">link</a>',
+                        'content' => '<a href="#" target="_blank">link</a>',
+                        'excerpt' => '<a href="#" target="_blank">link</a>',
+                ) );
+        }
+        public function test_post_roundtrip_as_editor_1() {
+                wp_set_current_user( self::$editor_id );
+                $this->assertEquals( ! is_multisite(), current_user_can( 'unfiltered_html' ) );
+                $this->verify_post_roundtrip( array(
+                        'title'   => '\o/ ¯\_(ツ)_/¯ 🚢',
+                        'content' => '\o/ ¯\_(ツ)_/¯ 🚢',
+                        'excerpt' => '\o/ ¯\_(ツ)_/¯ 🚢',
+                ) );
+        }
+        public function test_post_roundtrip_as_editor_2() {
+                wp_set_current_user( self::$editor_id );
+                if ( is_multisite() ) {
+                        $this->assertFalse( current_user_can( 'unfiltered_html' ) );
+                        $this->verify_post_roundtrip( array(
+                                'title'   => '\\\&\\\ &amp; &invalid; < &lt; &amp;lt;',
+                                'content' => '\\\&\\\ &amp; &invalid; < &lt; &amp;lt;',
+                                'excerpt' => '\\\&\\\ &amp; &invalid; < &lt; &amp;lt;',
+                        ), array(
+                                'title'   => '\\\&amp;\\\ &amp; &amp;invalid; &lt; &lt; &amp;lt;',
+                                'content' => '\\\&amp;\\\ &amp; &amp;invalid; &lt; &lt; &amp;lt;',
+                                'excerpt' => '\\\&amp;\\\ &amp; &amp;invalid; &lt; &lt; &amp;lt;',
+                        ) );
+                } else {
+                        $this->assertTrue( current_user_can( 'unfiltered_html' ) );
+                        $this->verify_post_roundtrip( array(
+                                'title'   => '\\\&\\\ &amp; &invalid; < &lt; &amp;lt;',
+                                'content' => '\\\&\\\ &amp; &invalid; < &lt; &amp;lt;',
+                                'excerpt' => '\\\&\\\ &amp; &invalid; < &lt; &amp;lt;',
+                        ) );
+                }
+        }
+        public function test_post_roundtrip_as_editor_unfiltered_html_1() {
+                wp_set_current_user( self::$editor_id );
+                if ( is_multisite() ) {
+                        $this->assertFalse( current_user_can( 'unfiltered_html' ) );
+                        $this->verify_post_roundtrip( array(
+                                'title'   => '<div>div</div> <strong>strong</strong> <script>oh noes</script>',
+                                'content' => '<div>div</div> <strong>strong</strong> <script>oh noes</script>',
+                                'excerpt' => '<div>div</div> <strong>strong</strong> <script>oh noes</script>',
+                        ), array(
+                                'title'   => 'div <strong>strong</strong> oh noes',
+                                'content' => '<div>div</div> <strong>strong</strong> oh noes',
+                                'excerpt' => '<div>div</div> <strong>strong</strong> oh noes',
+                        ) );
+                } else {
+                        $this->assertTrue( current_user_can( 'unfiltered_html' ) );
+                        $this->verify_post_roundtrip( array(
+                                'title'   => '<div>div</div> <strong>strong</strong> <script>oh noes</script>',
+                                'content' => '<div>div</div> <strong>strong</strong> <script>oh noes</script>',
+                                'excerpt' => '<div>div</div> <strong>strong</strong> <script>oh noes</script>',
+                        ) );
+                }
+        }
+        public function test_post_roundtrip_as_editor_unfiltered_html_2() {
+                wp_set_current_user( self::$editor_id );
+                if ( is_multisite() ) {
+                        $this->assertFalse( current_user_can( 'unfiltered_html' ) );
+                        $this->verify_post_roundtrip( array(
+                                'title'   => '<a href="#" target="_blank" data-unfiltered=true>link</a>',
+                                'content' => '<a href="#" target="_blank" data-unfiltered=true>link</a>',
+                                'excerpt' => '<a href="#" target="_blank" data-unfiltered=true>link</a>',
+                        ), array(
+                                'title'   => '<a href="#">link</a>',
+                                'content' => '<a href="#" target="_blank">link</a>',
+                                'excerpt' => '<a href="#" target="_blank">link</a>',
+                        ) );
+                } else {
+                        $this->assertTrue( current_user_can( 'unfiltered_html' ) );
+                        $this->verify_post_roundtrip( array(
+                                'title'   => '<a href="#" target="_blank" data-unfiltered=true>link</a>',
+                                'content' => '<a href="#" target="_blank" data-unfiltered=true>link</a>',
+                                'excerpt' => '<a href="#" target="_blank" data-unfiltered=true>link</a>',
+                        ) );
+                }
+        }
+        public function test_post_roundtrip_as_superadmin_1() {
+                wp_set_current_user( self::$superadmin_id );
+                $this->assertTrue( current_user_can( 'unfiltered_html' ) );
+                $this->verify_post_roundtrip( array(
+                        'title'   => '\o/ ¯\_(ツ)_/¯ 🚢',
+                        'content' => '\o/ ¯\_(ツ)_/¯ 🚢',
+                        'excerpt' => '\o/ ¯\_(ツ)_/¯ 🚢',
+                ) );
+        }
+        public function test_post_roundtrip_as_superadmin_2() {
+                wp_set_current_user( self::$superadmin_id );
+                $this->assertTrue( current_user_can( 'unfiltered_html' ) );
+                $this->verify_post_roundtrip( array(
+                        'title'   => '\\\&\\\ &amp; &invalid; < &lt; &amp;lt;',
+                        'content' => '\\\&\\\ &amp; &invalid; < &lt; &amp;lt;',
+                        'excerpt' => '\\\&\\\ &amp; &invalid; < &lt; &amp;lt;',
+                ) );
+        }
+        public function test_post_roundtrip_as_superadmin_unfiltered_html_1() {
+                wp_set_current_user( self::$superadmin_id );
+                $this->assertTrue( current_user_can( 'unfiltered_html' ) );
+                $this->verify_post_roundtrip( array(
+                        'title'   => '<div>div</div> <strong>strong</strong> <script>oh noes</script>',
+                        'content' => '<div>div</div> <strong>strong</strong> <script>oh noes</script>',
+                        'excerpt' => '<div>div</div> <strong>strong</strong> <script>oh noes</script>',
+                ), array(
+                        'title'   => '<div>div</div> <strong>strong</strong> <script>oh noes</script>',
+                        'content' => '<div>div</div> <strong>strong</strong> <script>oh noes</script>',
+                        'excerpt' => '<div>div</div> <strong>strong</strong> <script>oh noes</script>',
+                ) );
+        }
+        public function test_post_roundtrip_as_superadmin_unfiltered_html_2() {
+                wp_set_current_user( self::$superadmin_id );
+                $this->assertTrue( current_user_can( 'unfiltered_html' ) );
+                $this->verify_post_roundtrip( array(
+                        'title'   => '<a href="#" target="_blank" data-unfiltered=true>link</a>',
+                        'content' => '<a href="#" target="_blank" data-unfiltered=true>link</a>',
+                        'excerpt' => '<a href="#" target="_blank" data-unfiltered=true>link</a>',
+                ), array(
+                        'title'   => '<a href="#" target="_blank" data-unfiltered=true>link</a>',
+                        'content' => '<a href="#" target="_blank" data-unfiltered=true>link</a>',
+                        'excerpt' => '<a href="#" target="_blank" data-unfiltered=true>link</a>',
+                ) );
+        }
         public function test_delete_item() {
                 $post_id = $this->factory->post->create( array( 'post_title' => 'Deleted post' ) );
                 wp_set_current_user( self::$editor_id );

Trac UI Preferences

Download in other formats:

Original Format

Make WordPress Core

Context Navigation

Ticket #38609: 38609.1.diff

src/wp-includes/rest-api/endpoints/class-wp-rest-attachments-controller.php

src/wp-includes/rest-api/endpoints/class-wp-rest-posts-controller.php

src/wp-includes/rest-api/endpoints/class-wp-rest-terms-controller.php

src/wp-includes/rest-api/endpoints/class-wp-rest-users-controller.php

tests/phpunit/tests/rest-api/rest-posts-controller.php

Download in other formats: