Василий Наумкин

Обновил и Tickets и Jevix. С первым всё понятно — в дополнение к обработке обычных скобок добавились еще и фигурные.

А вот у Jevix теперь есть новый параметр escapeTags, выключенный по умолчанию.

[[*content:Jevix=`{"escapeTags":true}`]]

Как видно, сниппет заодно научился понимать JSON в $options.

Надеюсь, теперь все будут довольны.

На работу полнотекстового поиска можно посмотреть в mSearch1.

А ведь есть еще и input:

[[!*id:input=`1`:userinfo=`phone`]]

*id здесь от балды, input можно применять к любому тегу.

То есть, речь о том, что Jevix преобразовывает сущности в нормальные символы, чтобы потом повырезать всякую дрянь?

Ну, чтобы пользователь не смог тупо написать

<script>alert()</script>

а иначе, все эти проверки обходились бы очень легко.

Может, ленивому разработчику лучше сначала отдавать документ Jevix, а потом уже экранировать всякое опасное, как это делает Tickets?

В общем, ты свою проблему решил, я Tickets обновлю завтра, а остальным разработчикам могу только посоветовать думать, что они делают.

И Jevix, и Fenom, и создание всякого с фронтенда — это всё не работает по умолчанию, нужно включить и использовать самостоятельно.

Обрати внимание на звёздочки у комментариев и заметок — это то, что тебе нужно.

Не знал, что ты такой нудный, жаль.

Скобочки в html entities не попадают. Это автор Jevix предусмотрел от всяких XSS, а не тегов MODX.

[], {} работают в Jevix без вопросов.

Только полностью отключив обработку тегов в теле страницы. Она и отключена, по умолчанию.

Могу убрать и системную настройку, но уверен, что будет очень много недовольных.

Вот-вот, типограф сейчас этого и не делает.

Ну посмотри уже исходники, что ли. Они же не просто так открыты.

Еще раз, почему это должен делать типограф?

Именно Tickets позволяет добавлять документы с опасными тегами, именно он их и должен фильтровать.

Уже завтра он так и будет делать, сейчас я просто в гостях.

И еще раз напоминаю, что речь параметрах, отключенных по умолчанию. Их нужно включить, чтобы получить эти проблемы.

На этом сайте, например, теги Fenom не работают в тикетах, правда?

Вот такой, что ли?

А скобочки не вырезает, они сами по себе ничем не опасны.

Поэтому для MODX их вырезает Tickets.

Это типограф.

Почему он должен фильтровать скобочки? Это и раньше делал сам Tickets.

Я об этом не подумал, но в очередной раз порадовался, что обработка Fenom тегов не включена везде по умолчанию.

Выпущу обновление Tickets с фильтрацией тегов Fenom в пользовательских документах.

Думаю, стоит написать запрос в Объявления о работе.

modx revo 2.2.6

Ну а чего еще ожидать, если движку уже 3 года?

Версия 2.2.6 была выпущена 03 декабря 2012 и с тех пор закрыли уже очень много уязвимостей.

Обновлять, чистить и радоваться.

Попробуй так:

["myTvDate > now() OR myTvDate IS NULL"]

Обрати внимание, он же пишет, где можно проверить правильность JSON.

Проверяем, и понимаем, что тёзка опечатался.

Без кавычек это будет неправильный JSON. Надо так:

["myTvDate > now()"]
или
["TVmytvdate.value > now()"]

Так нельзя.

Да и условия в чанках гораздо лучше бы переписать на Fenom.