Ты о чём вообще? Не надо равняться на WP при внедрении решений, это чревато вот такими дырами в безопасности. Если надо обращаться к своему сниппету – пиши кастом.

ну если AJAX доступен на сайте $.ajax({ });, то можно из консоли браузера отправлять свои запросы с параметрами. Любой человек может посмотреть какие параметры отправляются и подставить свои.

можно доработать и как бы не против предложений

Я уже написал предложение.

если вы видите где-то уязвимость

Разве имея доступ к pdoResources сделать запрос к таблице modUser нельзя? Это так, навскидку. Я не хакер, у них голова работает гораздо интенсивнее в плане всяких SQL-инъекций.

Знаешь, вот сколько времени на modx, каждый раз такая мысль была — а как к сниппетам то обращаться с AJAX'a? Вроде бы modx'у уже больше 8 лет по моему, а норм решения так и не придумали. Мое дело — предложить, но возможно есть и обратная сторона, которую я сократил в меру своих возможностей. Но я считаю, что если боятся — то modx, так и останется «позади» всех. Хотя это супер платформа. Wordpress ей в подметки не годится по скорости и прочим фишкам, которые мы все любим. Вот я и хочу и тем самым улучшаю ее за бесплатно в том числе =)

если на сайте доступен AJAX вызов, то любой человек, вне зависимости стоит мой компонент на сайте или нет, может точно также отправлять сколько угодно запросов в бэкэнд с любыми параметрами

Вот тут подробнее, пжл.

Возможно твоя идея имеет место быть. Но она слишком «тяжелая» или усложнена, как ты выражаешься для начинающих или особо не вникающих в modx =)
Но я нормально так обдумал в меру своих возможностей на этот счет. Вот смотри, если на сайте доступен AJAX вызов, то любой человек, вне зависимости стоит мой компонент на сайте или нет, может точно также отправлять сколько угодно запросов в бэкэнд с любыми параметрами (т. е. дудосить =) ). И да, тоже думал на счет переменных (параметров, пример: $limit), что это не безопасно, но на самом деле это фактически тот же $_POST, который перезаписывается тотчас же, через строку при нормальной логике сниппета. И если бы я эту возможность убрал, нельзя было бы обращаться к примеру msProducts со своими параметрами, а такая возможность имеется.
В любом случае можно доработать и как бы не против предложений, если вы видите где-то уязвимость =)

По безопасности там отдельная тема – ниже написал. А касательно допуска только определённых сниппетов, не значит, что это безопасно. Ответственный программист может и позаботится о том, насколько безопасно давать доступ к тому или иному сниппету. А вот учитывая то, что я вижу на клиентских сайтах, большинство, к сожалению, не являются ответственными программистами и если потребуется, без раздумья дадут доступ к тому-же pdoResources. Представь, что можно натворить из фронта, имея доступ к pdoResources и имея возможность указывать туда любые параметры для вызова.

А давать на фронт возможность указывать любые параметры для обращения к сниппету разве правильно? Может лучше и безопаснее сделать указание параметров в бекенде (хз, в системной настройке пусть или где-то ещё) и к каждому сету параметров давать свой ключ, а на фронте обращаться к сниппету указывая ключ сета параметров, который будет в бекенде подтягиваться уже и применяться к вызову сниппета?

Да, правильно понял) Усложнена — потому что некоторые за безопасность боятся. Не могу же я все сниппеты открыть, хоть и вначале продумывал и такой вариант. Человек сам выбирает какие сниппеты включить. И не нужно создавать лишнюю страницу отдельную (пример: /get), чтобы словить запросы ajax и передаит в сниппеты. Они как бы скрытыми получаются от менеджеров и владельца сайта.

Логика инсталляции как-то усложнена по-моему. В чём принципиальное отличие от AjaxSnippet? Кроме более сложного подхода в использовании, конечно. =)

UPD:
Всё, сорри, понял. Это в принципе другой компонент, позволяющий «вызывать» сниппеты через Ajax запросы. Ок.

Здравствуйте! Добавлена ли совместимость с msOptionPrice?

1) полная инструкция тыц
2) ночные сборки с modx 3 тыц

Вот такую чухню я сотворил:
сниппет get_id:

$params = ['parents' => '11','tpl' => '@CODE:[ [+id] ],']; // параметры для получения id товаров
$id_list = $modx->runSnippet('pdoResources', $params); // запускаем сниппет и вносим id в переменную
$id_list = str_replace("\n", '', $id_list); // удаляем пробелы
$id_list = explode(",", $id_list); // преобразуем в массив
asort($id_list); // сортировка по значению, по возрастанию
foreach ($id_list as $id_item) {
$params1 = ['product'=>$id_item,'tpl'=>'my.tpl.msGallery'];
$result = $modx->runSnippet('msGallery', $params1);
echo $result;
}

Чанк my.tpl.msGallery:

{foreach $files as $file}
    <p>{$file['product_id']} - {$file['url']}</p>
{/foreach}

Вывод:

[msGallery] The resource with id = 9 is not instance of msProduct.
18 - /assets/images/products/18/images-(2).jpg
18 - /assets/images/products/18/tes-tpkwmnvcpg-r-dflhzeyg.jpg
19 - /assets/images/products/19/gun.jpg
20 - /assets/images/products/20/den-17-yarost-keksa.jpg

Почему подхватывает id=9 (это текущий id страницы) непонятно…

Компонент на modstore удлен?

А можно немножко кода в студию?

Я вот тут делал avto-estet.ru/ без танцев с бубном, просто отметил в админке нужные варианты и всё работает. Главное не забыть инициализировать скрипты для фронта.

Мне очень нужно добавить новые поля в свойства товаров

Надо думать раз вы пытаетесь установить дополнение msAddField у вас установлен minishop2? И вы конечно же прочитали документацию или хотя бы пытались искать информацию по запросу «добавить новые поля в свойства товаров minishop2»? Вы конечно же читали и смотрели вот это modx.pro/components/20947? И наконец вы уверены что функционал опций товара, которой встроен по умолчанию, вам не подходит?

И вот ещё статья с подробностями itchief.ru/lessons/modx-revo/modx-setting-permissions Вторая ссылка в Яндексе по запросу modx настройка прав доступа

Осуществил создание тикетов (постов) с фронтенда.

где-то внутри кода, который отвечает за это осуществление, нужно устанавливать значение publised = 0 и всё. Если был бы код, я бы сказал точнее.

Добрый день. Вопрос по content=>description. В контенте стоят дополнительные поля такие как [[+article]] и [[*pagetitle]]. Как заставить их обрабатываться? На данный момент выводится так: (Вы можете купить у нас [[*pagetitle]] [[+article]])