Всего 125 930 комментариев

Наумов Алексей
Наумов Алексей
11 мая 2025, 21:14
0
Никогда не храните код .php или шаблоны .tpl в папке /assets, это прям нельзя.
Такие штуки не должны быть доступны пользователю через http запрос. php код может выполнится, что небезопасно, а код шаблона вообще просто отобразится или файл скачается.

Их нужно хранить или в директории core, которая должна быть закрыта от доступа через правила веб-сервера, или же вообще в идеале выше, чем public каталог.

ну и тогда не нужно парится насчет «Если кто-то попытается обратиться к файлу напрямую»
/
DateAgo    7
Наумов Алексей
Наумов Алексей
11 мая 2025, 20:26
0
Какие компоненты используются на сайтах? Может быть какая-то старая версия чего-то с дыркой?
Должно быть между сайтами что-то общее
/
Алексей Р.
Алексей Р.
11 мая 2025, 18:43
0
смотрите папки и файлы. все не сканировал.
(удалил пока tinymce и ace), обновил modx что бы переписать все системные файлы.
.local
.share
.config
.fmx
/public_html/assets/components/tinymce/action.php
/public_html/assets/components/pdotools/action.php
/public_html/assets/components/ace/emmet/action.php
тут все что удалось найти disk.yandex.ru/d/pqO3KCB-IhXUiw
/
Артур Сергеевич
Артур Сергеевич
11 мая 2025, 18:35
0
Можете просто убрать, также там есть лишний код («LOG_LEVEL_INFO») который, который по факту тоже никому не будет нужен, кроме как на этапе проверки.
/
DateAgo    7
Артур Сергеевич
Артур Сергеевич
11 мая 2025, 18:30
0
if (!defined('MODX_CORE_PATH')) die('Unauthorized access'); — это мой З#**** (при загруженных проектах я часто разношу все) Если кто-то попытается обратиться к файлу напрямую (например, через URL вроде site.ru/assets/snippets/mysnippet.php.

можно использовать пространства имён и автозагрузку, но проверка MODX_CORE_PATH остаётся простым и надёжным способом защиты.
(просто как доп. уровень, это наверно из разряда xss csp)

погодите, а разве параметр dateFormat не закрывает этот момент?

Все верно вы говорите, просто я его еще не доделал. Изначально я хотел что при текущем годе показа года не было.
Вот сырой код, если хотите посмотреть, для понимания 

$formatAbsoluteDate = function($timestamp, $locale) use ($showYear) {
    $monthIndex = date('m', $timestamp);
    $monthNames = $locale['months'][$monthIndex] ?? ['', ''];
    $year = date('Y', $timestamp);
    $currentYear = date('Y');
    
    // !!!
    $shouldShowYear = $showYear && ($year != $currentYear);
    
    return date('d', $timestamp) . ' ' . $monthNames[0] . ($shouldShowYear ? ' ' . $year : '');
};
/
DateAgo    7
Stepan
Stepan
11 мая 2025, 18:11
0
if (!defined('MODX_CORE_PATH')) die('Unauthorized access');
я конечно все понимаю, но реально зачем эта строка? — это же сниппет… Он без ядра в принципе не запустится или это типа защита от запуска файла напрямую?
/
DateAgo    7
Stepan
Stepan
11 мая 2025, 18:08
0
showYear:
true (по умолчанию): включает год в полном формате.
false: убирает год (например, «09 мая»).
погодите, а разве параметр dateFormat не закрывает этот момент?

там же какой формат укажешь такой и отобразится
добавьте у себя тоже возможность указания формата
/
DateAgo    7
Stepan
Stepan
11 мая 2025, 18:05
0
господа, говорите есть проблема и даже файлы нашли… Может есть смысл выложить их в архиве, чтобы видеть контент данных файлов?
/
Андрей
Андрей
11 мая 2025, 09:39
0
Приветствую! Вчера столкнулся с этой проблемой, отключено несколько сайтов (
Пока плохо представляю где копать, буду благодарен, если появится новая информация по поиску и решению проблемы.
/
Артур Шевченко
Артур Шевченко
09 мая 2025, 20:12
0
Есть ещё такой кейс
/
Николай Савин
Николай Савин
09 мая 2025, 20:00
+1
Перенес в готовые решения
/
DateAgo    7
Андрей
Андрей
09 мая 2025, 19:38
0
Спасибо за кейс!
/
Наумов Алексей
Наумов Алексей
09 мая 2025, 11:35
+1
Можете PR сделать, я не против, вольем. Самому сейчас делать — мотивации нет (( мне эти функции были не нужны в свое время
/
Юрий
Юрий
09 мая 2025, 11:14
0
Жаль. Доработка компонента для ее реализации нужна косметическая. Для галереи такая фича — маст хэв.
/
Наумов Алексей
Наумов Алексей
09 мая 2025, 11:04
0
Да вроде нету)
/
Юрий
Юрий
08 мая 2025, 19:29
+1
Привет, коллеги! У компонента есть возможность выводить миниатюры загруженных к ресурсу изображений в админке?
/
Андрей
Андрей
08 мая 2025, 16:49
0
Да где блин скачать этот компонент? Он как в воду канул
/
Андрей
Андрей
08 мая 2025, 16:36
0
Добрый день.
Подскажите пожалуйста, а как можно установить или приобрести компонент ExportUsers? Просто на сайте modstore.pro нет такого компонента там остался только msExportUsersExcel, а решения для экспорта заказов — msExportOrdersExcel — нет ((.
/
Андрей Шевяков
Андрей Шевяков
07 мая 2025, 14:38
+1
Столкнулся с такой же проблемой вдруг, хотя сделал уже не один сайт и никогда такого не было. Оказалось все просто, если на странице подключаются скрипты минишопа несколько раз, то и заказ создается несколько раз.

<script src="/assets/components/minishop2/js/web/default.js?v=e0b2f3a936"></script>

Проверяйте этот файл /assets/components/minishop2/js/web/default.js — он должен быть подключен 1 раз на странице, и все тогда ок.
/
SYAN
SYAN
06 мая 2025, 20:21
0
решил таким способом получение первой картинки
{set $preview = $_modx->runSnippet('ms2Gallery', [
			'resources' => $id,
            'filetype' => 'image', 
            'limit' => 1,
            'tpl' => '@FILE chunks/image_url.tpl'            
            ])}
chunks/image_url.tpl
{if $files?}
{foreach $files as $file}
{$file['medium']}
{/foreach}
{/if}
/