auth.json используется для доступа к приватным composer репозиториям, для чего он тут?

Теперь обновили PHP на сервере и инсталляция запускается. Но все затем упирается в требование какого-то токена следующую ошибку —

Cloning failed using an ssh key for authentication, enter your GitHub credentials to access private repos
Head to https://github.com/settings/tokens/new?scopes=repo&description=Composer+on+dva.ru+2020-11-02+1320
to retrieve a token. It will be stored in "/var/www/...../data/.config/composer/auth.json" for future use by Composer

Сформулирую теперь вопрос иначе — требуется ли для установки MODX3 через composer наличие аккаунта на github и наличие какого-либо токена? Заранее спасибо всем, в т.ч. кто ранее откликнулся!

Да это жестко)

а запустив вот так

$.ajax({
        url: fastsnippet,
        type: "post",
        data: {
            snippet: 'pdoresources',
            params: {
                tpl: '@INLINE {$_modx->runSnippet("!pdoUsers", [ "tpl" => "" ])}'
            }
        }
    })

и посмотрев в ответ который прийдет с сервера можно увидеть всех пользователей, д и запустить любой сниппет похожим образом

{$id} не работает потомучто сниппет не запускается именно на страницу, а происходит просто runSnippet. И смотреть надо не в консоли, а в ответе во вкладке «сеть», тогда выведется ответ

Оно так не работает. Этот параметр выводится только потому-что на странице доступен и при рендере заменяется. Если вы сделаете tpl: '@INLINE {$id}', то фиг че получите)))
И просто в инспекторе кода подставить tpl: '@INLINE {$_modx->config.site_name} [[++site_name]]' и выполнить ajax запрос, то тоже не сработает. Если я что-то не заметил — поправьте пожалуйста.

{{+id}}, [[+id]] тоже не работает)



Но все это не имеет значения, т.к. в любом случае уязвимость есть

$.ajax({
        url: fastsnippet,
        type: "post",
        data: {
            snippet: 'pdoresources',
            params: {
                tpl: '@INLINE {$_modx->config.site_name}'
            }
        }
    })

Я пробовал передать инлайн чанк и не сработало. Может я что-то не так делал.

А какой прикол использовать ваш компонент без возможности передать параметры? Это вы предлагаете создавать сниппет и в нем вызывать другой?

Да table_prefix можно и так узнать через его подход:

{'!pdoResources' | snippet : [
    'parents' => 0,
    'resources' => 1,
    'tpl' => '@INLINE {$_modx->config.table_prefix}',
]}

Но узнать table_prefix – это самое незначительное, что можно натворить с такой дырой. Тут вот хорошо описали, что примерно можно натворить. Без аргументов правда.

автор старался сдержано реагировать на довольно неприятные выпады и оскорбления.

Мученник, блин… Автор тупил жёстко, когда ему про дыру говорили, которую он открывает своим компонентом и даже решение предлагали. Он просил каких-то аргументов и начал нести какую-то чушь про ajax запросы на моём сайте. Я пытался вести конструктивный диалог, задавал конкретные вопросы, он куда-то в сторону увиливал и не отвечал на них.

Какие ещё выпады и оскорбления, не пойму? Если чел тупит, то я ему так и написал. Если он реагирует неадекватно на критику, вместо принятия оной – защищается, то я тоже так и написал.

Если я правильно понимаю, то у modx желательно никому не показывать свой table_prefix (ну по крайней мере раньше это было капец как опасно).

С помощью вашего сниппета можно просто вызвать pdoResources с параметром showLog и мы увидим запрос в базу данных, в котором увидим table_prefix. Так же можно сделать любой leftjoin и т.д.

Пацан к успеху шел, не получилось, не фартануло!

Расскажи-ка, о каких таких выпадах и оскорблениях речь?

Вы выполняете команду cd и переходите в директорию а командная строка этого никак не отображает, что вы уже внутри директории.

оооо, это прикалюха многих хостингов, я даже для себя пометку написал, как это исправить))) Дико бесило на одном из проектов)

Дело не в ssh клиенте, а в настройках приглашения командной строки

И ты пытаешься меня напугать своим или его авторитетом, что они якобы «старожилы» и им все позволено, то заявляю ответственно — мне похер.

и еще похлеще скажу!

Нетрудно заметить, что автор был отключен после вполне конкретных заявлений.

Если ему похер — то мне уж тем более.

+

Ок, спасибо. Буду разбираться)

зачем понижать)))) вперед мы двигаемся)) это на хосте у тебя по умолчанию используется пхп 5.4, обрати внимание, то что у тебя поставлено использование на сайте 7.3 и то что в консоле используется, это две разные вещи

А ты мне неприятен, так что я тебя просто отключу — так это работает?

судя потому что автор удален, то видимо да — так и работает.
Не совсем согласен с таким решением, автор старался сдержано реагировать на довольно неприятные выпады и оскорбления.