Make WordPress Core

Changeset 17136


Ignore:
Timestamp:
12/24/2010 10:37:51 PM (14 years ago)
Author:
westi
Message:

Nonce checks for site-users. See #15969 props PeteMall.

File:
1 edited

Legend:

Unmodified
Added
Removed
  • trunk/wp-admin/network/site-users.php

    r17045 r17136  
    6363    switch ( $action ) {
    6464        case 'newuser':
     65            check_admin_referer( 'add-user', '_wpnonce_add-new-user' );
    6566            $user = $_POST['user'];
    6667            if ( !is_array( $_POST['user'] ) || empty( $user['username'] ) || empty( $user['email'] ) ) {
     
    8182
    8283        case 'adduser':
     84            check_admin_referer( 'add-user', '_wpnonce_add-user' );
    8385            if ( !empty( $_POST['newuser'] ) ) {
    8486                $update = 'adduser';
     
    102104            if ( !current_user_can('remove_users')  )
    103105                die(__('You can’t remove users.'));
    104                
     106            check_admin_referer( 'bulk-users' );
     107           
    105108            $update = 'remove';
    106109            if ( isset( $_REQUEST['users'] ) ) {
     
    119122
    120123        case 'promote':
     124            check_admin_referer( 'bulk-users' );
    121125            $editable_roles = get_editable_roles();
    122126            if ( empty( $editable_roles[$_REQUEST['new_role']] ) )
     
    259263        </tr>
    260264    </table>
     265    <?php wp_nonce_field( 'add-user', '_wpnonce_add-user' ) ?>
    261266    <?php submit_button( __('Add User'), 'primary', 'add-user' ); ?>
    262267</form>
     
    294299        </tr>
    295300    </table>
    296     <?php wp_nonce_field( 'add-user', '_wpnonce_add-user' ) ?>
     301    <?php wp_nonce_field( 'add-user', '_wpnonce_add-new-user' ) ?>
    297302    <?php submit_button( __('Add New User'), 'primary', 'add-user' ); ?>
    298303</form>
Note: See TracChangeset for help on using the changeset viewer.