Skip to:
Content

bbPress.org

Changeset 5566


Ignore:
Timestamp:
11/12/2014 07:34:09 PM (10 years ago)
Author:
johnjamesjacoby
Message:

Add nonce checks to admin area topic & author suggest usages.

Location:
trunk/src/includes/admin
Files:
4 edited

Legend:

Unmodified
Added
Removed
  • trunk/src/includes/admin/admin.php

    r5565 r5566  
    697697     */
    698698    public function suggest_topic() {
     699        global $wpdb;
     700
     701        // Bail early if no request
     702        if ( empty( $_REQUEST['q'] ) ) {
     703            wp_die( '0' );
     704        }
     705
     706        // Check the ajax nonce
     707        check_ajax_referer( 'bbp_suggest_topic_nonce' );
    699708
    700709        // Try to get some topics
    701710        $topics = get_posts( array(
    702             's'         => like_escape( $_REQUEST['q'] ),
     711            's'         => $wpdb->esc_like( $_REQUEST['q'] ),
    703712            'post_type' => bbp_get_topic_post_type()
    704713        ) );
     
    719728     */
    720729    public function suggest_user() {
     730        global $wpdb;
     731
     732        // Bail early if no request
     733        if ( empty( $_REQUEST['q'] ) ) {
     734            wp_die( '0' );
     735        }
     736
     737        // Check the ajax nonce
     738        check_ajax_referer( 'bbp_suggest_user_nonce' );
    721739
    722740        // Try to get some users
    723741        $users_query = new WP_User_Query( array(
    724             'search'         => '*' . like_escape( $_REQUEST['q'] ) . '*',
     742            'search'         => '*' . $wpdb->esc_like( $_REQUEST['q'] ) . '*',
    725743            'fields'         => array( 'ID', 'user_nicename' ),
    726744            'search_columns' => array( 'ID', 'user_nicename', 'user_email' ),
  • trunk/src/includes/admin/js/common.js

    r5225 r5566  
    33    var bbp_author_id = jQuery( '#bbp_author_id' );
    44
    5     bbp_author_id.suggest( ajaxurl + '?action=bbp_suggest_user', {
    6         onSelect: function() {
    7             var value = this.value;
    8             bbp_author_id.val( value.substr( 0, value.indexOf( ' ' ) ) );
     5    bbp_author_id.suggest(
     6        bbp_author_id.data( 'ajax-url' ),
     7        {
     8            onSelect: function() {
     9                var value = this.value;
     10                bbp_author_id.val( value.substr( 0, value.indexOf( ' ' ) ) );
     11            }
    912        }
    10     } );
     13    );
    1114} );
  • trunk/src/includes/admin/js/replies.js

    r5399 r5566  
    66    var bbp_topic_id = jQuery( '#bbp_topic_id' );
    77
    8     bbp_topic_id.suggest( ajaxurl + '?action=bbp_suggest_topic', {
    9         onSelect: function() {
    10             var value = this.value;
    11             bbp_topic_id.val( value.substr( 0, value.indexOf( ' ' ) ) );
     8    bbp_topic_id.suggest(
     9        bbp_topic_id.data( 'ajax-url' ),
     10        {
     11            onSelect: function() {
     12                console.log( 'hi' );
     13                var value = this.value;
     14                bbp_topic_id.val( value.substr( 0, value.indexOf( ' ' ) ) );
     15            }
    1216        }
    13     } );
     17    );
    1418} );
  • trunk/src/includes/admin/metaboxes.php

    r5561 r5566  
    522522        <strong class="label"><?php esc_html_e( 'Topic:', 'bbpress' ); ?></strong>
    523523        <label class="screen-reader-text" for="parent_id"><?php esc_html_e( 'Topic', 'bbpress' ); ?></label>
    524         <input name="parent_id" id="bbp_topic_id" type="text" value="<?php echo esc_attr( $reply_topic_id ); ?>" />
     524        <input name="parent_id" id="bbp_topic_id" type="text" value="<?php echo esc_attr( $reply_topic_id ); ?>" data-ajax-url="<?php echo wp_nonce_url( add_query_arg( array( 'action' => 'bbp_suggest_topic' ), admin_url( 'admin-ajax.php', 'relative' ) ), 'bbp_suggest_topic_nonce' ); ?>" />
    525525    </p>
    526526
     
    587587            <strong class="label"><?php esc_html_e( 'ID:', 'bbpress' ); ?></strong>
    588588            <label class="screen-reader-text" for="bbp_author_id"><?php esc_html_e( 'ID', 'bbpress' ); ?></label>
    589             <input type="text" id="bbp_author_id" name="post_author_override" value="<?php echo esc_attr( bbp_get_global_post_field( 'post_author' ) ); ?>" />
     589            <input type="text" id="bbp_author_id" name="post_author_override" value="<?php echo esc_attr( bbp_get_global_post_field( 'post_author' ) ); ?>" data-ajax-url="<?php echo wp_nonce_url( add_query_arg( array( 'action' => 'bbp_suggest_user' ), admin_url( 'admin-ajax.php', 'relative' ) ), 'bbp_suggest_user_nonce' ); ?>" />
    590590        </p>
    591591
Note: See TracChangeset for help on using the changeset viewer.