<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN"

"http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head><meta http-equiv="content-type" content="text/html; charset=utf-8" />

<title>[45714] trunk: Users: Use `wp_update_user()` in `get_password_reset_key()`.</title>

</head>

<body>

<style type="text/css"><!--

#msg dl.meta { border: 1px #006 solid; background: #369; padding: 6px; color: #fff; }

#msg dl.meta dt { float: left; width: 6em; font-weight: bold; }

#msg dt:after { content:':';}

#msg dl, #msg dt, #msg ul, #msg li, #header, #footer, #logmsg { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt;  }

#msg dl a { font-weight: bold}

#msg dl a:link    { color:#fc3; }

#msg dl a:active  { color:#ff0; }

#msg dl a:visited { color:#cc6; }

h3 { font-family: verdana,arial,helvetica,sans-serif; font-size: 10pt; font-weight: bold; }

#msg pre { white-space: pre-line; overflow: auto; background: #ffc; border: 1px #fa0 solid; padding: 6px; }

#logmsg { background: #ffc; border: 1px #fa0 solid; padding: 1em 1em 0 1em; }

#logmsg p, #logmsg pre, #logmsg blockquote { margin: 0 0 1em 0; }

#logmsg p, #logmsg li, #logmsg dt, #logmsg dd { line-height: 14pt; }

#logmsg h1, #logmsg h2, #logmsg h3, #logmsg h4, #logmsg h5, #logmsg h6 { margin: .5em 0; }

#logmsg h1:first-child, #logmsg h2:first-child, #logmsg h3:first-child, #logmsg h4:first-child, #logmsg h5:first-child, #logmsg h6:first-child { margin-top: 0; }

#logmsg ul, #logmsg ol { padding: 0; list-style-position: inside; margin: 0 0 0 1em; }

#logmsg ul { text-indent: -1em; padding-left: 1em; }#logmsg ol { text-indent: -1.5em; padding-left: 1.5em; }

#logmsg > ul, #logmsg > ol { margin: 0 0 1em 0; }

#logmsg pre { background: #eee; padding: 1em; }

#logmsg blockquote { border: 1px solid #fa0; border-left-width: 10px; padding: 1em 1em 0 1em; background: white;}

#logmsg dl { margin: 0; }

#logmsg dt { font-weight: bold; }

#logmsg dd { margin: 0; padding: 0 0 0.5em 0; }

#logmsg dd:before { content:'\00bb';}

#logmsg table { border-spacing: 0px; border-collapse: collapse; border-top: 4px solid #fa0; border-bottom: 1px solid #fa0; background: #fff; }

#logmsg table th { text-align: left; font-weight: normal; padding: 0.2em 0.5em; border-top: 1px dotted #fa0; }

#logmsg table td { text-align: right; border-top: 1px dotted #fa0; padding: 0.2em 0.5em; }

#logmsg table thead th { text-align: center; border-bottom: 1px solid #fa0; }

#logmsg table th.Corner { text-align: left; }

#logmsg hr { border: none 0; border-top: 2px dashed #fa0; height: 1px; }

#header, #footer { color: #fff; background: #636; border: 1px #300 solid; padding: 6px; }

#patch { width: 100%; }

#patch h4 {font-family: verdana,arial,helvetica,sans-serif;font-size:10pt;padding:8px;background:#369;color:#fff;margin:0;}

#patch .propset h4, #patch .binary h4 {margin:0;}

#patch pre {padding:0;line-height:1.2em;margin:0;}

#patch .diff {width:100%;background:#eee;padding: 0 0 10px 0;overflow:auto;}

#patch .propset .diff, #patch .binary .diff  {padding:10px 0;}

#patch span {display:block;padding:0 10px;}

#patch .modfile, #patch .addfile, #patch .delfile, #patch .propset, #patch .binary, #patch .copfile {border:1px solid #ccc;margin:10px 0;}

#patch ins {background:#dfd;text-decoration:none;display:block;padding:0 10px;}

#patch del {background:#fdd;text-decoration:none;display:block;padding:0 10px;}

#patch .lines, .info {color:#888;background:#fff;}

--></style>

<div id="msg">

<dl class="meta" style="font-size: 105%">

<dt style="float: left; width: 6em; font-weight: bold">Revision</dt> <dd><a style="font-weight: bold" href="https://core.trac.wordpress.org/changeset/45714">45714</a><script type="application/ld+json">{"@context":"http://schema.org","@type":"EmailMessage","description":"Review this Commit","action":{"@type":"ViewAction","url":"https://core.trac.wordpress.org/changeset/45714","name":"Review Commit"}}</script></dd>

<dt style="float: left; width: 6em; font-weight: bold">Author</dt> <dd>SergeyBiryukov</dd>

<dt style="float: left; width: 6em; font-weight: bold">Date</dt> <dd>2019-08-01 17:24:20 +0000 (Thu, 01 Aug 2019)</dd>

</dl>

<pre style='padding-left: 1em; margin: 2em 0; border-left: 2px solid #ccc; line-height: 1.25; font-size: 105%; font-family: sans-serif'>Users: Use `wp_update_user()` in `get_password_reset_key()`.

Props jayswadas, spacedmonkey, donmhico, SergeyBiryukov.

Fixes <a href="https://core.trac.wordpress.org/ticket/45746">#45746</a>.</pre>

<h3>Modified Paths</h3>

<ul>

<li><a href="#trunksrcwpincludesuserphp">trunk/src/wp-includes/user.php</a></li>

<li><a href="#trunktestsphpunittestsauthphp">trunk/tests/phpunit/tests/auth.php</a></li>

</ul>

</div>

<div id="patch">

<h3>Diff</h3>

<a id="trunksrcwpincludesuserphp"></a>

<div class="modfile"><h4 style="background-color: #eee; color: inherit; margin: 1em 0; padding: 1.3em; font-size: 115%">Modified: trunk/src/wp-includes/user.php</h4>

<pre class="diff"><span>

<span class="info" style="display: block; padding: 0 10px; color: #888">--- trunk/src/wp-includes/user.php    2019-08-01 17:12:42 UTC (rev 45713)

+++ trunk/src/wp-includes/user.php      2019-08-01 17:24:20 UTC (rev 45714)

</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -1468,14 +1468,15 @@

</span><span class="cx" style="display: block; padding: 0 10px">  *

</span><span class="cx" style="display: block; padding: 0 10px">  * Most of the `$userdata` array fields have filters associated with the values. Exceptions are

</span><span class="cx" style="display: block; padding: 0 10px">  * 'ID', 'rich_editing', 'syntax_highlighting', 'comment_shortcuts', 'admin_color', 'use_ssl',

</span><del style="background-color: #fdd; text-decoration:none; display:block; padding: 0 10px">- * 'user_registered', 'spam', and 'role'. The filters have the prefix 'pre_user_' followed by the

- * field name. An example using 'description' would have the filter called, 'pre_user_description'

- * that can be hooked into.

</del><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+ * 'user_registered', 'user_activation_key', 'spam', and 'role'. The filters have the prefix

+ * 'pre_user_' followed by the field name. An example using 'description' would have the filter

+ * called 'pre_user_description' that can be hooked into.

</ins><span class="cx" style="display: block; padding: 0 10px">  *

</span><span class="cx" style="display: block; padding: 0 10px">  * @since 2.0.0

</span><span class="cx" style="display: block; padding: 0 10px">  * @since 3.6.0 The `aim`, `jabber`, and `yim` fields were removed as default user contact

<span class="cx" style="display: block; padding: 0 10px">  *              methods for new installations. See wp_get_user_contact_methods().

<span class="cx" style="display: block; padding: 0 10px">  * @since 4.7.0 The user's locale can be passed to `$userdata`.

<ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+ * @since 5.3.0 The `user_activation_key` field can be passed to `$userdata`.

</ins><span class="cx" style="display: block; padding: 0 10px">  * @since 5.3.0 The `spam` field can be passed to `$userdata` (Multisite only).

</span><span class="cx" style="display: block; padding: 0 10px">  *

<span class="cx" style="display: block; padding: 0 10px">  * @global wpdb $wpdb WordPress database abstraction object.

</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -1510,6 +1511,7 @@

</span><span class="cx" style="display: block; padding: 0 10px">  *     @type bool        $use_ssl              Whether the user should always access the admin over

<span class="cx" style="display: block; padding: 0 10px">  *                                             https. Default false.

<span class="cx" style="display: block; padding: 0 10px">  *     @type string      $user_registered      Date the user registered. Format is 'Y-m-d H:i:s'.

<ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+ *     @type string      $user_activation_key  Password reset key. Default empty.

</ins><span class="cx" style="display: block; padding: 0 10px">  *     @type bool        $spam                 Multisite only. Whether the user is marked as spam.

<span class="cx" style="display: block; padding: 0 10px">  *                                             Default false.

</span><span class="cx" style="display: block; padding: 0 10px">  *     @type string|bool $show_admin_bar_front Whether to display the Admin Bar for the user on the

</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -1661,6 +1663,8 @@

</span><span class="cx" style="display: block; padding: 0 10px"> 

</span><span class="cx" style="display: block; padding: 0 10px">        $user_registered = empty( $userdata['user_registered'] ) ? gmdate( 'Y-m-d H:i:s' ) : $userdata['user_registered'];

</span><span class="cx" style="display: block; padding: 0 10px"> 

</span><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+        $user_activation_key = empty( $userdata['user_activation_key'] ) ? '' : $userdata['user_activation_key'];

+

</ins><span class="cx" style="display: block; padding: 0 10px">         if ( isset( $userdata['spam'] ) && ! is_multisite() ) {

</span><span class="cx" style="display: block; padding: 0 10px">                return new WP_Error( 'no_spam', __( 'Sorry, marking a user as spam is only supported on Multisite.' ) );

</span><span class="cx" style="display: block; padding: 0 10px">        }

</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -1755,7 +1759,7 @@

</span><span class="cx" style="display: block; padding: 0 10px"> 

</span><span class="cx" style="display: block; padding: 0 10px">        $meta['locale'] = isset( $userdata['locale'] ) ? $userdata['locale'] : '';

</span><span class="cx" style="display: block; padding: 0 10px"> 

</span><del style="background-color: #fdd; text-decoration:none; display:block; padding: 0 10px">-        $compacted = compact( 'user_pass', 'user_nicename', 'user_email', 'user_url', 'user_registered', 'display_name' );

</del><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+ $compacted = compact( 'user_pass', 'user_nicename', 'user_email', 'user_url', 'user_registered', 'user_activation_key', 'display_name' );

</ins><span class="cx" style="display: block; padding: 0 10px">         $data      = wp_unslash( $compacted );

</span><span class="cx" style="display: block; padding: 0 10px"> 

</span><span class="cx" style="display: block; padding: 0 10px">        if ( ! $update ) {

</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -2248,7 +2252,6 @@

</span><span class="cx" style="display: block; padding: 0 10px">  *

</span><span class="cx" style="display: block; padding: 0 10px">  * @since 4.4.0

</span><span class="cx" style="display: block; padding: 0 10px">  *

<del style="background-color: #fdd; text-decoration:none; display:block; padding: 0 10px">- * @global wpdb         $wpdb      WordPress database abstraction object.

</del><span class="cx" style="display: block; padding: 0 10px">  * @global PasswordHash $wp_hasher Portable PHP password hashing framework.

</span><span class="cx" style="display: block; padding: 0 10px">  *

<span class="cx" style="display: block; padding: 0 10px">  * @param WP_User $user User to retrieve password reset key for.

</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -2256,7 +2259,7 @@

<span class="cx" style="display: block; padding: 0 10px">  * @return string|WP_Error Password reset key on success. WP_Error on error.

</span><span class="cx" style="display: block; padding: 0 10px">  */

</span><span class="cx" style="display: block; padding: 0 10px"> function get_password_reset_key( $user ) {

</span><del style="background-color: #fdd; text-decoration:none; display:block; padding: 0 10px">-        global $wpdb, $wp_hasher;

</del><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+ global $wp_hasher;

</ins><span class="cx" style="display: block; padding: 0 10px"> 

</span><span class="cx" style="display: block; padding: 0 10px">        if ( ! ( $user instanceof WP_User ) ) {

</span><span class="cx" style="display: block; padding: 0 10px">                return new WP_Error( 'invalidcombo', __( '<strong>ERROR</strong>: There is no account with that username or email address.' ) );

</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -2322,10 +2325,18 @@

</span><span class="cx" style="display: block; padding: 0 10px">                require_once ABSPATH . WPINC . '/class-phpass.php';

</span><span class="cx" style="display: block; padding: 0 10px">                $wp_hasher = new PasswordHash( 8, true );

</span><span class="cx" style="display: block; padding: 0 10px">        }

</span><del style="background-color: #fdd; text-decoration:none; display:block; padding: 0 10px">-        $hashed    = time() . ':' . $wp_hasher->HashPassword( $key );

-       $key_saved = $wpdb->update( $wpdb->users, array( 'user_activation_key' => $hashed ), array( 'user_login' => $user->user_login ) );

-       if ( false === $key_saved ) {

-               return new WP_Error( 'no_password_key_update', __( 'Could not save password reset key to database.' ) );

</del><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+

+       $hashed = time() . ':' . $wp_hasher->HashPassword( $key );

+

+       $key_saved = wp_update_user(

+               array(

+                       'ID'                  => $user->ID,

+                       'user_activation_key' => $hashed,

+               )

+       );

+

+       if ( is_wp_error( $key_saved ) ) {

+               return $key_saved;

</ins><span class="cx" style="display: block; padding: 0 10px">         }

</span><span class="cx" style="display: block; padding: 0 10px"> 

</span><span class="cx" style="display: block; padding: 0 10px">        return $key;

</span></span></pre></div>

<a id="trunktestsphpunittestsauthphp"></a>

<div class="modfile"><h4 style="background-color: #eee; color: inherit; margin: 1em 0; padding: 1.3em; font-size: 115%">Modified: trunk/tests/phpunit/tests/auth.php</h4>

<pre class="diff"><span>

<span class="info" style="display: block; padding: 0 10px; color: #888">--- trunk/tests/phpunit/tests/auth.php        2019-08-01 17:12:42 UTC (rev 45713)

+++ trunk/tests/phpunit/tests/auth.php  2019-08-01 17:24:20 UTC (rev 45714)

</span><span class="lines" style="display: block; padding: 0 10px; color: #888">@@ -227,6 +227,20 @@

</span><span class="cx" style="display: block; padding: 0 10px">        }

</span><span class="cx" style="display: block; padding: 0 10px"> 

</span><span class="cx" style="display: block; padding: 0 10px">        /**

</span><ins style="background-color: #dfd; text-decoration:none; display:block; padding: 0 10px">+         * @ticket 45746

+        */

+       function test_user_activation_key_is_saved() {

+               $user = get_userdata( $this->user->ID );

+               $key  = get_password_reset_key( $user );

+

+               // A correctly saved key should be accepted

+               $check = check_password_reset_key( $key, $this->user->user_login );

+               $this->assertNotWPError( $check );

+               $this->assertInstanceOf( 'WP_User', $check );

+               $this->assertSame( $this->user->ID, $check->ID );

+       }

+

+       /**

</ins><span class="cx" style="display: block; padding: 0 10px">          * @ticket 32429

</span><span class="cx" style="display: block; padding: 0 10px">         */

</span><span class="cx" style="display: block; padding: 0 10px">        function test_user_activation_key_is_checked() {

</span></span></pre>

</div>

</div>

</body>

</html>