WordPress 4.2.4-scripts
[autoinstalls/wordpress.git] / wp-includes / shortcodes.php
index 55e64a1863f9f9891b42595b2c7bc02cb76ae8d4..531a1fa18650c84db60df2ec55016c29be7807e1 100644 (file)
  *
  * To apply shortcode tags to content:
  *
- * <code>
- * $out = do_shortcode($content);
- * </code>
+ *     $out = do_shortcode( $content );
  *
- * @link http://codex.wordpress.org/Shortcode_API
+ * @link https://codex.wordpress.org/Shortcode_API
  *
  * @package WordPress
  * @subpackage Shortcodes
@@ -52,38 +50,34 @@ $shortcode_tags = array();
  *
  * Simplest example of a shortcode tag using the API:
  *
- * <code>
- * // [footag foo="bar"]
- * function footag_func($atts) {
- *     return "foo = {$atts[foo]}";
- * }
- * add_shortcode('footag', 'footag_func');
- * </code>
+ *     // [footag foo="bar"]
+ *     function footag_func( $atts ) {
+ *         return "foo = {
+ *             $atts[foo]
+ *         }";
+ *     }
+ *     add_shortcode( 'footag', 'footag_func' );
  *
  * Example with nice attribute defaults:
  *
- * <code>
- * // [bartag foo="bar"]
- * function bartag_func($atts) {
- *     $args = shortcode_atts(array(
- *             'foo' => 'no foo',
- *             'baz' => 'default baz',
- *     ), $atts);
+ *     // [bartag foo="bar"]
+ *     function bartag_func( $atts ) {
+ *         $args = shortcode_atts( array(
+ *             'foo' => 'no foo',
+ *             'baz' => 'default baz',
+ *         ), $atts );
  *
- *     return "foo = {$args['foo']}";
- * }
- * add_shortcode('bartag', 'bartag_func');
- * </code>
+ *         return "foo = {$args['foo']}";
+ *     }
+ *     add_shortcode( 'bartag', 'bartag_func' );
  *
  * Example with enclosed content:
  *
- * <code>
- * // [baztag]content[/baztag]
- * function baztag_func($atts, $content='') {
- *     return "content = $content";
- * }
- * add_shortcode('baztag', 'baztag_func');
- * </code>
+ *     // [baztag]content[/baztag]
+ *     function baztag_func( $atts, $content = '' ) {
+ *         return "content = $content";
+ *     }
+ *     add_shortcode( 'baztag', 'baztag_func' );
  *
  * @since 2.5.0
  *
@@ -106,7 +100,7 @@ function add_shortcode($tag, $func) {
  *
  * @uses $shortcode_tags
  *
- * @param string $tag shortcode tag to remove hook for.
+ * @param string $tag Shortcode tag to remove hook for.
  */
 function remove_shortcode($tag) {
        global $shortcode_tags;
@@ -136,9 +130,10 @@ function remove_all_shortcodes() {
  *
  * @since 3.6.0
  *
- * @global array $shortcode_tags
- * @param string $tag
- * @return boolean
+ * @global array $shortcode_tags List of shortcode tags and their callback hooks.
+ *
+ * @param string $tag Shortcode tag to check.
+ * @return bool Whether the given shortcode exists.
  */
 function shortcode_exists( $tag ) {
        global $shortcode_tags;
@@ -151,8 +146,10 @@ function shortcode_exists( $tag ) {
  * @since 3.6.0
  *
  * @global array $shortcode_tags
- * @param string $tag
- * @return boolean
+ *
+ * @param string $content Content to search for shortcodes.
+ * @param string $tag     Shortcode tag to check.
+ * @return bool Whether the passed content contains the given shortcode.
  */
 function has_shortcode( $content, $tag ) {
        if ( false === strpos( $content, '[' ) ) {
@@ -184,13 +181,13 @@ function has_shortcode( $content, $tag ) {
  *
  * @since 2.5.0
  *
- * @uses $shortcode_tags
- * @uses get_shortcode_regex() Gets the search pattern for searching shortcodes.
+ * @global array $shortcode_tags List of shortcode tags and their callback hooks.
  *
- * @param string $content Content to search for shortcodes
+ * @param string $content Content to search for shortcodes.
+ * @param bool $ignore_html When true, shortcodes inside HTML elements will be skipped.
  * @return string Content with shortcodes filtered out.
  */
-function do_shortcode($content) {
+function do_shortcode( $content, $ignore_html = false ) {
        global $shortcode_tags;
 
        if ( false === strpos( $content, '[' ) ) {
@@ -200,8 +197,24 @@ function do_shortcode($content) {
        if (empty($shortcode_tags) || !is_array($shortcode_tags))
                return $content;
 
+       $tagnames = array_keys($shortcode_tags);
+       $tagregexp = join( '|', array_map('preg_quote', $tagnames) );
+       $pattern = "/\\[($tagregexp)/s";
+
+       if ( 1 !== preg_match( $pattern, $content ) ) {
+               // Avoids parsing HTML when there are no shortcodes or embeds anyway.
+               return $content;
+       }
+
+       $content = do_shortcodes_in_html_tags( $content, $ignore_html );
+
        $pattern = get_shortcode_regex();
-       return preg_replace_callback( "/$pattern/s", 'do_shortcode_tag', $content );
+       $content = preg_replace_callback( "/$pattern/s", 'do_shortcode_tag', $content );
+       
+       // Always restore square braces so we don't break things like <!--[if IE ]>
+       $content = unescape_invalid_shortcodes( $content );
+       
+       return $content;
 }
 
 /**
@@ -294,6 +307,127 @@ function do_shortcode_tag( $m ) {
        }
 }
 
+/**
+ * Search only inside HTML elements for shortcodes and process them.
+ *
+ * Any [ or ] characters remaining inside elements will be HTML encoded
+ * to prevent interference with shortcodes that are outside the elements.
+ * Assumes $content processed by KSES already.  Users with unfiltered_html
+ * capability may get unexpected output if angle braces are nested in tags.
+ *
+ * @since 4.2.3
+ *
+ * @param string $content Content to search for shortcodes
+ * @param bool $ignore_html When true, all square braces inside elements will be encoded.
+ * @return string Content with shortcodes filtered out.
+ */
+function do_shortcodes_in_html_tags( $content, $ignore_html ) {
+       // Normalize entities in unfiltered HTML before adding placeholders.
+       $trans = array( '&#91;' => '&#091;', '&#93;' => '&#093;' );
+       $content = strtr( $content, $trans );
+       $trans = array( '[' => '&#91;', ']' => '&#93;' );
+       
+       $pattern = get_shortcode_regex();
+       $textarr = wp_html_split( $content );
+
+       foreach ( $textarr as &$element ) {
+               if ( '' == $element || '<' !== $element[0] ) {
+                       continue;
+               }
+
+               $noopen = false === strpos( $element, '[' );
+               $noclose = false === strpos( $element, ']' );
+               if ( $noopen || $noclose ) {
+                       // This element does not contain shortcodes.
+                       if ( $noopen xor $noclose ) {
+                               // Need to encode stray [ or ] chars.
+                               $element = strtr( $element, $trans );
+                       }
+                       continue;
+               }
+
+               if ( $ignore_html || '<!--' === substr( $element, 0, 4 ) || '<![CDATA[' === substr( $element, 0, 9 ) ) {
+                       // Encode all [ and ] chars.
+                       $element = strtr( $element, $trans );
+                       continue;
+               }
+
+               $attributes = wp_kses_attr_parse( $element );
+               if ( false === $attributes ) {
+                       // Some plugins are doing things like [name] <[email]>.
+                       if ( 1 === preg_match( '%^<\s*\[\[?[^\[\]]+\]%', $element ) ) {
+                               $element = preg_replace_callback( "/$pattern/s", 'do_shortcode_tag', $element );
+                       }
+
+                       // Looks like we found some crazy unfiltered HTML.  Skipping it for sanity.
+                       $element = strtr( $element, $trans );
+                       continue;
+               }
+               
+               // Get element name
+               $front = array_shift( $attributes );
+               $back = array_pop( $attributes );
+               $matches = array();
+               preg_match('%[a-zA-Z0-9]+%', $front, $matches);
+               $elname = $matches[0];
+               
+               // Look for shortcodes in each attribute separately.
+               foreach ( $attributes as &$attr ) {
+                       $open = strpos( $attr, '[' );
+                       $close = strpos( $attr, ']' );
+                       if ( false === $open || false === $close ) {
+                               continue; // Go to next attribute.  Square braces will be escaped at end of loop.
+                       }
+                       $double = strpos( $attr, '"' );
+                       $single = strpos( $attr, "'" );
+                       if ( ( false === $single || $open < $single ) && ( false === $double || $open < $double ) ) {
+                               // $attr like '[shortcode]' or 'name = [shortcode]' implies unfiltered_html.
+                               // In this specific situation we assume KSES did not run because the input
+                               // was written by an administrator, so we should avoid changing the output
+                               // and we do not need to run KSES here.
+                               $attr = preg_replace_callback( "/$pattern/s", 'do_shortcode_tag', $attr );
+                       } else {
+                               // $attr like 'name = "[shortcode]"' or "name = '[shortcode]'"
+                               // We do not know if $content was unfiltered. Assume KSES ran before shortcodes.
+                               $count = 0;
+                               $new_attr = preg_replace_callback( "/$pattern/s", 'do_shortcode_tag', $attr, -1, $count );
+                               if ( $count > 0 ) {
+                                       // Sanitize the shortcode output using KSES.
+                                       $new_attr = wp_kses_one_attr( $new_attr, $elname );
+                                       if ( '' !== $new_attr ) {
+                                               // The shortcode is safe to use now.
+                                               $attr = $new_attr;
+                                       }
+                               }
+                       }
+               }
+               $element = $front . implode( '', $attributes ) . $back;
+               
+               // Now encode any remaining [ or ] chars.
+               $element = strtr( $element, $trans );
+       }
+       
+       $content = implode( '', $textarr );
+       
+       return $content;
+}
+
+/**
+ * Remove placeholders added by do_shortcodes_in_html_tags().
+ *
+ * @since 4.2.3
+ *
+ * @param string $content Content to search for placeholders.
+ * @return string Content with placeholders removed.
+ */
+function unescape_invalid_shortcodes( $content ) {
+        // Clean up entire string, avoids re-parsing HTML.
+        $trans = array( '&#91;' => '[', '&#93;' => ']' );
+        $content = strtr( $content, $trans );
+        
+        return $content;
+}
+
 /**
  * Retrieve all attributes from the shortcodes tag.
  *
@@ -318,7 +452,7 @@ function shortcode_parse_atts($text) {
                                $atts[strtolower($m[3])] = stripcslashes($m[4]);
                        elseif (!empty($m[5]))
                                $atts[strtolower($m[5])] = stripcslashes($m[6]);
-                       elseif (isset($m[7]) and strlen($m[7]))
+                       elseif (isset($m[7]) && strlen($m[7]))
                                $atts[] = stripcslashes($m[7]);
                        elseif (isset($m[8]))
                                $atts[] = stripcslashes($m[8]);
@@ -393,9 +527,15 @@ function strip_shortcodes( $content ) {
        if (empty($shortcode_tags) || !is_array($shortcode_tags))
                return $content;
 
+       $content = do_shortcodes_in_html_tags( $content, true );
+
        $pattern = get_shortcode_regex();
+       $content = preg_replace_callback( "/$pattern/s", 'strip_shortcode_tag', $content );
 
-       return preg_replace_callback( "/$pattern/s", 'strip_shortcode_tag', $content );
+       // Always restore square braces so we don't break things like <!--[if IE ]>
+       $content = unescape_invalid_shortcodes( $content );
+       
+       return $content;
 }
 
 function strip_shortcode_tag( $m ) {
@@ -406,5 +546,3 @@ function strip_shortcode_tag( $m ) {
 
        return $m[1] . $m[6];
 }
-
-add_filter('the_content', 'do_shortcode', 11); // AFTER wpautop()