WordPress.org

Make WordPress Core

Changeset 17136


Ignore:
Timestamp:
12/24/10 22:37:51 (3 years ago)
Author:
westi
Message:

Nonce checks for site-users. See #15969 props PeteMall.

File:
1 edited

Legend:

Unmodified
Added
Removed
  • trunk/wp-admin/network/site-users.php

    r17045 r17136  
    6363    switch ( $action ) { 
    6464        case 'newuser': 
     65            check_admin_referer( 'add-user', '_wpnonce_add-new-user' ); 
    6566            $user = $_POST['user']; 
    6667            if ( !is_array( $_POST['user'] ) || empty( $user['username'] ) || empty( $user['email'] ) ) { 
     
    8182 
    8283        case 'adduser': 
     84            check_admin_referer( 'add-user', '_wpnonce_add-user' ); 
    8385            if ( !empty( $_POST['newuser'] ) ) { 
    8486                $update = 'adduser'; 
     
    102104            if ( !current_user_can('remove_users')  ) 
    103105                die(__('You can’t remove users.')); 
    104                  
     106            check_admin_referer( 'bulk-users' ); 
     107             
    105108            $update = 'remove'; 
    106109            if ( isset( $_REQUEST['users'] ) ) { 
     
    119122 
    120123        case 'promote': 
     124            check_admin_referer( 'bulk-users' ); 
    121125            $editable_roles = get_editable_roles(); 
    122126            if ( empty( $editable_roles[$_REQUEST['new_role']] ) ) 
     
    259263        </tr> 
    260264    </table> 
     265    <?php wp_nonce_field( 'add-user', '_wpnonce_add-user' ) ?> 
    261266    <?php submit_button( __('Add User'), 'primary', 'add-user' ); ?> 
    262267</form> 
     
    294299        </tr> 
    295300    </table> 
    296     <?php wp_nonce_field( 'add-user', '_wpnonce_add-user' ) ?> 
     301    <?php wp_nonce_field( 'add-user', '_wpnonce_add-new-user' ) ?> 
    297302    <?php submit_button( __('Add New User'), 'primary', 'add-user' ); ?> 
    298303</form> 
Note: See TracChangeset for help on using the changeset viewer.