Skip to:
Content

BuddyPress.org

Ticket #4993: 4993.patch

File 4993.patch, 2.1 KB (added by johnjamesjacoby, 11 years ago)
  • bp-friends/bp-friends-classes.php

     
    144144                if ( empty( $user_id ) )
    145145                        $user_id = bp_loggedin_user_id();
    146146
    147                 $filter = like_escape( $wpdb->escape( $filter ) );
     147                $filter = esc_sql( like_escape( $filter ) );
    148148
    149149                if ( !empty( $limit ) && !empty( $page ) )
    150150                        $pag_sql = $wpdb->prepare( " LIMIT %d, %d", intval( ( $page - 1 ) * $limit), intval( $limit ) );
     
    153153                        return false;
    154154
    155155                // Get all the user ids for the current user's friends.
    156                 $fids = implode( ',', $friend_ids );
     156                $fids = esc_sql( implode( ',', wp_parse_id_list( $friend_ids ) ) );
    157157
    158158                if ( empty( $fids ) )
    159159                        return false;
     
    198198        function get_bulk_last_active( $user_ids ) {
    199199                global $wpdb;
    200200
     201                $user_ids = implode( ',', wp_parse_id_list( $user_ids ) );
     202
    201203                return $wpdb->get_results( $wpdb->prepare( "SELECT meta_value as last_activity, user_id FROM {$wpdb->usermeta} WHERE meta_key = %s AND user_id IN ( {$user_ids} ) ORDER BY meta_value DESC", bp_get_user_meta_key( 'last_activity' ) ) );
    202204        }
    203205
     
    222224        function search_users( $filter, $user_id, $limit = null, $page = null ) {
    223225                global $wpdb, $bp;
    224226
    225                 $filter = like_escape( $wpdb->escape( $filter ) );
     227                $filter = esc_sql( like_escape( $filter ) );
    226228
    227229                $usermeta_table = $wpdb->base_prefix . 'usermeta';
    228230                $users_table    = $wpdb->base_prefix . 'users';
     
    248250        function search_users_count( $filter ) {
    249251                global $wpdb, $bp;
    250252
    251                 $filter = like_escape( $wpdb->escape( $filter ) );
     253                $filter = esc_sql( like_escape( $filter ) );
    252254
    253255                $usermeta_table = $wpdb->prefix . 'usermeta';
    254256                $users_table    = $wpdb->base_prefix . 'users';
     
    274276                if ( !bp_is_active( 'xprofile' ) )
    275277                        return false;
    276278
     279                $user_ids = implode( ',', wp_parse_id_list( $user_ids ) );
     280
    277281                return $wpdb->get_results( $wpdb->prepare( "SELECT user_id FROM {$bp->profile->table_name_data} pd, {$bp->profile->table_name_fields} pf WHERE pf.id = pd.field_id AND pf.name = %s AND pd.user_id IN ( {$user_ids} ) ORDER BY pd.value ASC", bp_xprofile_fullname_field_name() ) );
    278282        }
    279283