Павел Гвоздь

Ты прикалываешь там чтоли? Я вопрос конкретный задал. При чём тут мой сайт?

Ну например, мне надо вывести статьи через Ajax на сайте при помощи сниппета pdoResources. Как это сделать с помощью данного компонента безопасно, не прибегая к созданию дополнительных сниппетов?

Ну и хрен с ним. При чём тут это? Мы сейчас обсуждаем одно, а ты тянешь куда-то в другую сторону.

Я не понимаю тебя. Ты пишешь сначала

сколько угодно запросов в бэкэнд с любыми параметрами

а теперь говоришь

посмотреть какие параметры отправляются и подставить свои

Я не вижу ничего страшного в этом.

Ты о чём вообще? Не надо равняться на WP при внедрении решений, это чревато вот такими дырами в безопасности. Если надо обращаться к своему сниппету – пиши кастом.

можно доработать и как бы не против предложений

Я уже написал предложение.

если вы видите где-то уязвимость

Разве имея доступ к pdoResources сделать запрос к таблице modUser нельзя? Это так, навскидку. Я не хакер, у них голова работает гораздо интенсивнее в плане всяких SQL-инъекций.

если на сайте доступен AJAX вызов, то любой человек, вне зависимости стоит мой компонент на сайте или нет, может точно также отправлять сколько угодно запросов в бэкэнд с любыми параметрами

Вот тут подробнее, пжл.

По безопасности там отдельная тема – ниже написал. А касательно допуска только определённых сниппетов, не значит, что это безопасно. Ответственный программист может и позаботится о том, насколько безопасно давать доступ к тому или иному сниппету. А вот учитывая то, что я вижу на клиентских сайтах, большинство, к сожалению, не являются ответственными программистами и если потребуется, без раздумья дадут доступ к тому-же pdoResources. Представь, что можно натворить из фронта, имея доступ к pdoResources и имея возможность указывать туда любые параметры для вызова.

А давать на фронт возможность указывать любые параметры для обращения к сниппету разве правильно? Может лучше и безопаснее сделать указание параметров в бекенде (хз, в системной настройке пусть или где-то ещё) и к каждому сету параметров давать свой ключ, а на фронте обращаться к сниппету указывая ключ сета параметров, который будет в бекенде подтягиваться уже и применяться к вызову сниппета?

Логика инсталляции как-то усложнена по-моему. В чём принципиальное отличие от AjaxSnippet? Кроме более сложного подхода в использовании, конечно. =)

UPD:
Всё, сорри, понял. Это в принципе другой компонент, позволяющий «вызывать» сниппеты через Ajax запросы. Ок.

Я когда увидел, как моя подруга работает в Excel, как во вспомогательном редакторе для построения огромного числа SQL запросов, то мягко говоря ох… л.

Такого пока в коробке нет.

$id = 5268;

$modx->runProcessor('resource/delete', [
    'id' => $id,
]);
$modx->runProcessor('resource/trash/purge', [
    'ids' => $id,
]);

1) 2.7Мб первое изображение, да ещё и не под катом?! joxi.ru/a2X5gn6hDRqekA Нужно сжимать, хотя бы из уважения к сообществу.

2) Скройте код по кат.

Нет, не умеет.

На мой взгляд куда правильнее глобальное хранить в глобальном классе microMODX. Как уже сказал Василий выше:

в чанк могут передать свои собственные переменные $resource и $user

и такое довольно часто происходит. Потому, я считаю, это очень весомый аргумент. Как ты в чанке потом до глобальных свойств доберёшься?

А если уж очень хочется «попроще» писать, то Баха дал рабочий вариант выше.

а вот к fenom бывают вопросы

Какие?

Гляньте в код сниппета. Он обрезает всё что после двоеточия включительно. Ваш ключ AND:consist:= превращается в опцию AND. А несколько переданных вами одинаковых ключей в массиве само собой превратятся в один. То бишь ваши несколько AND:consist:= в массиве становятся одним (последним присвоенным) элементом.

Данная задача решается через where + leftJoin на стороне вызова сниппета. Джойните опции, по которым осуществляете выборку и в where пишете:

'where' => [
    'consist = "first_value"',
    'consist = "second_value"',
],

без ключей.

Феном учите, какие ещё модификаторы… эта дрянь нормально никогда не работала, а поддерживать сайт с этим колдунством в коде просто отвратительное занятие.

Нет. Можно юзать беслптаную. Главное выпустите ключ. И ознакомьтесь с правилами бесплатного ключа tech.yandex.ru/maps/jsapi/doc/2.1/terms/index-docpage/#index__conditions