Context Navigation

← Previous Changeset
Next Changeset →

Changeset 6783

Timestamp:

02/16/2018 10:18:00 PM (7 years ago)

Author:

johnjamesjacoby

Message:

Caps: Check for $args[0] and bail if empty.

This change avoids debug notices when single forum/topic/reply capability checks are done without having passed in a post ID.

Props espellcaste, chriscct7. Fixes #3190.

Location:

trunk/src/includes

Files:

: 3 edited

forums/capabilities.php (modified) (4 diffs)
replies/capabilities.php (modified) (4 diffs)
topics/capabilities.php (modified) (2 diffs)

Legend:

: Unmodified
: Added
: Removed

trunk/src/includes/forums/capabilities.php

-                      r6667
+                      r6783
             } else {
+                // Get the post
+                // Bail if no post ID
+                if ( empty( $args[0] ) ) {
+                    return $caps;
+                }
+                // Get the post.
                 $_post = get_post( $args[0] );
                 if ( ! empty( $_post ) ) {
 …
         case 'moderate_forum' :
+            // Get the post
+            // Bail if no post ID
+            if ( empty( $args[0] ) ) {
+                return $caps;
+            }
+            // Get the post.
             $_post = get_post( $args[0] );
             if ( ! empty( $_post ) && bbp_allow_forum_mods() ) {
 …
         case 'edit_forum' :
+            // Get the post
+            // Bail if no post ID
+            if ( empty( $args[0] ) ) {
+                return $caps;
+            }
+            // Get the post.
             $_post = get_post( $args[0] );
             if ( ! empty( $_post ) ) {
 …
         case 'delete_forum' :
+            // Get the post
+            // Bail if no post ID
+            if ( empty( $args[0] ) ) {
+                return $caps;
+            }
+            // Get the post.
             $_post = get_post( $args[0] );
             if ( ! empty( $_post ) ) {

trunk/src/includes/replies/capabilities.php

-                      r6713
+                      r6783
  * @since 2.2.0 bbPress (r4242)
+ *
  * @param array $caps Capabilities for meta capability
  * @param string $cap Capability name
  * @param int $user_id User id
  * @param array $args Arguments
+ * @param array  $caps    Capabilities for meta capability.
+ * @param string $cap     Capability name.
+ * @param int    $user_id User id.
+ * @param array  $args    Arguments.
+ *
  * @return array Actual capabilities for meta capability
 …
             } else {
+                // Get the post
+                // Bail if no post ID
+                if ( empty( $args[0] ) ) {
+                    return $caps;
+                }
+                // Get the post.
                 $_post = get_post( $args[0] );
                 if ( ! empty( $_post ) ) {
 …
         case 'edit_reply' :
+            // Get the post
+            // Bail if no post ID
+            if ( empty( $args[0] ) ) {
+                return $caps;
+            }
+            // Get the post.
             $_post = get_post( $args[0] );
             if ( ! empty( $_post ) ) {
 …
         case 'delete_reply' :
+            // Bail if no post ID
+            if ( empty( $args[0] ) ) {
+                return $caps;
+            }
             // Get the post
             $_post = get_post( $args[0] );

trunk/src/includes/topics/capabilities.php

-                      r6720
+                      r6783
  * @since 2.2.0 bbPress (r4242)
+ *
+ * @param array  $caps    Capabilities for meta capability.
+ * @param string $cap     Capability name.
+ * @param int    $user_id User id.
+ * @param array  $args    Arguments.
+ *
+ * @return array Actual capabilities for meta capability
+ */
+function bbp_map_topic_meta_caps( $caps = array(), $cap = '', $user_id = 0, $args = array() ) {
+    // What capability is being checked?
+    switch ( $cap ) {
+        /** Reading ***********************************************************/
+        case 'read_topic' :
+            // User cannot spectate
+            if ( ! user_can( $user_id, 'spectate' ) ) {
+                $caps = array( 'do_not_allow' );
+            // Do some post ID based logic
+            } else {
+                // Bail if no post ID
+                if ( empty( $args[0] ) ) {
+                    return $caps;
+                }
+                // Get the post.
+                $_post = get_post( $args[0] );
+                if ( ! empty( $_post ) ) {
+                    // Get caps for post type object
+                    $post_type = get_post_type_object( $_post->post_type );
+                    // Post is public
+                    if ( bbp_get_public_status_id() === $_post->post_status ) {
+                        $caps = array( 'spectate' );
+                    // User is author so allow read
+                    } elseif ( (int) $user_id === (int) $_post->post_author ) {
+                        $caps = array( 'spectate' );
+                    // Moderators can always edit forum content
+                    } elseif ( user_can( $user_id, 'moderate', $_post->ID ) ) {
+                        $caps = array( 'spectate' );
+                    // Unknown so map to private posts
+                    } else {
+                        $caps = array( $post_type->cap->read_private_posts );
+                    }
+                }
+            }
+            break;
+        /** Publishing ********************************************************/
+        case 'publish_topics'  :
+            // Moderators can always publish
+            if ( user_can( $user_id, 'moderate' ) ) {
+                $caps = array( 'moderate' );
+            }
+            break;
+        /** Editing ***********************************************************/
+        // Used primarily in wp-admin
+        case 'edit_topics'        :
+        case 'edit_others_topics' :
+            // Moderators can always edit
+            if ( user_can( $user_id, 'moderate' ) ) {
+                $caps = array( $cap );
+            // Otherwise, check forum
+            } else {
+                $forum_id = bbp_get_forum_id();
+                // Moderators can always edit forum content
+                if ( user_can( $user_id, 'moderate', $forum_id ) ) {
+                    $caps = array( 'spectate' );
+                // Fallback to do_not_allow
+                } else {
+                    $caps = array( 'do_not_allow' );
+                }
+            }
+            break;
+        // Used everywhere
+        case 'edit_topic' :
+            // Bail if no post ID
+            if ( empty( $args[0] ) ) {
+                return $caps;
+            }
+            // Get the post.
+            $_post = get_post( $args[0] );
+            if ( ! empty( $_post ) ) {
+                // Get caps for post type object
+                $post_type = get_post_type_object( $_post->post_type );
+                // Add 'do_not_allow' cap if user is spam or deleted
+                if ( bbp_is_user_inactive( $user_id ) ) {
+                    $caps = array( 'do_not_allow' );
+                // Moderators can always edit forum content
+                } elseif ( user_can( $user_id, 'moderate', $_post->ID ) ) {
+                    $caps = array( 'spectate' );
+                // User is author so allow edit if not in admin, unless it's past edit lock time
+                } elseif ( ! is_admin() && ( (int) $user_id === (int) $_post->post_author ) ) {
+                    // Only allow if not past the edit-lock period
+                    $caps = ! bbp_past_edit_lock( $_post->post_date_gmt )
+                        ? array( $post_type->cap->edit_posts )
+                        : array( 'do_not_allow' );
+                // Unknown, so map to edit_others_posts
+                } else {
+                    $caps = array( $post_type->cap->edit_others_posts );
+                }
+            }
+            break;
+        /** Deleting **********************************************************/
+        case 'delete_topic' :
+            // Bail if no post ID
+            if ( empty( $args[0] ) ) {
+                return $caps;
+            }
+            // Get the post.
+            $_post = get_post( $args[0] );
+            if ( ! empty( $_post ) ) {
+                // Get caps for post type object
+                $post_type = get_post_type_object( $_post->post_type );
+                // Add 'do_not_allow' cap if user is spam or deleted
+                if ( bbp_is_user_inactive( $user_id ) ) {
+                    $caps = array( 'do_not_allow' );
+                // Moderators can always edit forum content
+                } elseif ( user_can( $user_id, 'moderate', $_post->ID ) ) {
+                    $caps = array( 'spectate' );
+                // User is author so allow delete if not in admin
+                } elseif ( ! is_admin() && ( (int) $user_id === (int) $_post->post_author ) ) {
+                    $caps = array( $post_type->cap->delete_posts );
+                // Unknown so map to delete_others_posts
+                } else {
+                    $caps = array( $post_type->cap->delete_others_posts );
+                }
+            }
+            break;
+        // Moderation override
+        case 'delete_topics'         :
+        case 'delete_others_topics'  :
+            // Moderators can always delete
+            if ( user_can( $user_id, 'moderate' ) ) {
+                $caps = array( $cap );
+            }
+            break;
+        /** Admin *************************************************************/
+        case 'bbp_topics_admin' :
+            $caps = array( 'edit_topics' );
+            break;
+    }
+    // Filter & return
+    return (array) apply_filters( 'bbp_map_topic_meta_caps', $caps, $cap, $user_id, $args );
+}
+/**
+ * Maps topic tag capabilities
+ *
+ * @since 2.2.0 bbPress (r4242)
+ *
  * @param array $caps Capabilities for meta capability
  * @param string $cap Capability name
 …
  * @return array Actual capabilities for meta capability
  */
-function bbp_map_topic_meta_caps( $caps = array(), $cap = '', $user_id = 0, $args = array() ) {
-    // What capability is being checked?
-    switch ( $cap ) {
-        /** Reading ***********************************************************/
-        case 'read_topic' :
-            // User cannot spectate
-            if ( ! user_can( $user_id, 'spectate' ) ) {
-                $caps = array( 'do_not_allow' );
-            // Do some post ID based logic
-            } else {
-                // Get the post
-                $_post = get_post( $args[0] );
-                if ( ! empty( $_post ) ) {
-                    // Get caps for post type object
-                    $post_type = get_post_type_object( $_post->post_type );
-                    // Post is public
-                    if ( bbp_get_public_status_id() === $_post->post_status ) {
-                        $caps = array( 'spectate' );
-                    // User is author so allow read
-                    } elseif ( (int) $user_id === (int) $_post->post_author ) {
-                        $caps = array( 'spectate' );
-                    // Moderators can always edit forum content
-                    } elseif ( user_can( $user_id, 'moderate', $_post->ID ) ) {
-                        $caps = array( 'spectate' );
-                    // Unknown so map to private posts
-                    } else {
-                        $caps = array( $post_type->cap->read_private_posts );
+                    }
+                }
+            }
-            break;
-        /** Publishing ********************************************************/
-        case 'publish_topics'  :
-            // Moderators can always publish
-            if ( user_can( $user_id, 'moderate' ) ) {
-                $caps = array( 'moderate' );
+            }
-            break;
-        /** Editing ***********************************************************/
-        // Used primarily in wp-admin
-        case 'edit_topics'        :
-        case 'edit_others_topics' :
-            // Moderators can always edit
-            if ( user_can( $user_id, 'moderate' ) ) {
-                $caps = array( $cap );
-            // Otherwise, check forum
-            } else {
-                $forum_id = bbp_get_forum_id();
-                // Moderators can always edit forum content
-                if ( user_can( $user_id, 'moderate', $forum_id ) ) {
-                    $caps = array( 'spectate' );
-                // Fallback to do_not_allow
-                } else {
-                    $caps = array( 'do_not_allow' );
+                }
+            }
-            break;
-        // Used everywhere
-        case 'edit_topic' :
-            // Get the post
-            $_post = get_post( $args[0] );
-            if ( ! empty( $_post ) ) {
-                // Get caps for post type object
-                $post_type = get_post_type_object( $_post->post_type );
-                // Add 'do_not_allow' cap if user is spam or deleted
-                if ( bbp_is_user_inactive( $user_id ) ) {
-                    $caps = array( 'do_not_allow' );
-                // Moderators can always edit forum content
-                } elseif ( user_can( $user_id, 'moderate', $_post->ID ) ) {
-                    $caps = array( 'spectate' );
-                // User is author so allow edit if not in admin, unless it's past edit lock time
-                } elseif ( ! is_admin() && ( (int) $user_id === (int) $_post->post_author ) ) {
-                    // Only allow if not past the edit-lock period
-                    $caps = ! bbp_past_edit_lock( $_post->post_date_gmt )
-                        ? array( $post_type->cap->edit_posts )
-                        : array( 'do_not_allow' );
-                // Unknown, so map to edit_others_posts
-                } else {
-                    $caps = array( $post_type->cap->edit_others_posts );
+                }
+            }
-            break;
-        /** Deleting **********************************************************/
-        case 'delete_topic' :
-            // Get the post
-            $_post = get_post( $args[0] );
-            if ( ! empty( $_post ) ) {
-                // Get caps for post type object
-                $post_type = get_post_type_object( $_post->post_type );
-                // Add 'do_not_allow' cap if user is spam or deleted
-                if ( bbp_is_user_inactive( $user_id ) ) {
-                    $caps = array( 'do_not_allow' );
-                // Moderators can always edit forum content
-                } elseif ( user_can( $user_id, 'moderate', $_post->ID ) ) {
-                    $caps = array( 'spectate' );
-                // User is author so allow delete if not in admin
-                } elseif ( ! is_admin() && ( (int) $user_id === (int) $_post->post_author ) ) {
-                    $caps = array( $post_type->cap->delete_posts );
-                // Unknown so map to delete_others_posts
-                } else {
-                    $caps = array( $post_type->cap->delete_others_posts );
+                }
+            }
-            break;
-        // Moderation override
-        case 'delete_topics'         :
-        case 'delete_others_topics'  :
-            // Moderators can always delete
-            if ( user_can( $user_id, 'moderate' ) ) {
-                $caps = array( $cap );
+            }
-            break;
-        /** Admin *************************************************************/
-        case 'bbp_topics_admin' :
-            $caps = array( 'edit_topics' );
-            break;
+    }
-    // Filter & return
-    return (array) apply_filters( 'bbp_map_topic_meta_caps', $caps, $cap, $user_id, $args );
+}
-/**
- * Maps topic tag capabilities
+ *
- * @since 2.2.0 bbPress (r4242)
+ *
- * @param array $caps Capabilities for meta capability
- * @param string $cap Capability name
- * @param int $user_id User id
- * @param array $args Arguments
+ *
- * @return array Actual capabilities for meta capability
- */
 function bbp_map_topic_tag_meta_caps( $caps, $cap, $user_id, $args ) {

Note: See TracChangeset for help on using the changeset viewer.

Trac UI Preferences

bbPress.org