Сергей Шлоков

Попробовал на локальном сервере, на выделенном сервере, на обычном хостинге — везде примерно одинаково.

Везде xdebug виноват?

У меня xdebug установлен. Ноу проблемс.

Консоль браузера?

{('<b>' ~ $placeholder ~ '</b>') | htmlToBottom : true}

Вообще теги остаются только при аякс запросах.

В Вашем случае логичнее всего предположить, что Вы выставляете теги несуществующих плейсхолдеров.

Вы хотите, чтобы MODX распарсил теги в яваскрипт файле?

Ну почему же в ресурсе?) В шаблоне.

Тогда что значит эта загадочная фраза: «Через include подключил внешний шаблон index.tpl c таким содержанием:»?

А шаблоны base.tpl и расширяющий его index.tpl лежат в одной папке core/elements/templates.

Ещё раз. В твоём варианте запрос идёт к шаблонам из БД. Т.е. шаблон base.tpl должен быть в списке шаблонов во вкладке «Элементы» дерева элементов админки.

Я делал, так как написано в документации.

Видимо из какой-то другой. Вот пример из документации:

{extends 'file:chunks/my_chunk.tpl'}

{block 'myblock'}
    Hello world!
{/block}

В твоём случае

{extends 'file:templates/base.tpl'}
...

Через include подключил внешний шаблон index.tpl c таким содержанием:

Это как? Это где? Неужели в ресурсе?

Кроме того, Вы же понимаете, что работаете не с файлами, а с шаблонами из БД? Они никак не могут лежать в одной папке.

Картинка-с.

А что такое «теги на modx.pro»?

Функция «Завершить все сеансы» из бек-энда поддерживается компонентом?

Ты сам-то как думаешь?

Каждая технология предназначена для какой-то конкретной задачи. Лично я не вижу преимуществ JWT для обычных сайтов, которым не нужно масштабирование и репликация. Ещё для микросервисов сойдёт. Или если уж места на диске впритык. На MODX такие приложения не строят.
В MODX сессия используются вовсю. Поэтому открытой её оставлять нельзя. И получается её нужно кодировать-раскодировать. И гонять туда-сюда. Не думаю, что это будет сильно быстрее. В общем везде есть свои плюсы и минусы. Всё нужно делать под конкретные задачи.

Проблема в двойном кодировании. Квадратные скобки фильтруются принудительно при обработке запроса, а затем Jevix кодирует спец. символы. Вариантов 2. Или в контенте перед выводом заменять amp;#91; на #91;. Или в Jevix отключить двойное кодирование в функции htmlspecialchars. Я использую первый вариант.

file_get_contents()

С большим файлом на легком тарифе будут проблемы с памятью.

Он уже занят на моём канале.

Тем не менее, кому интересен процесс создания, то использую микрофон RODE NT-USB,

А я выбрал Samson C01U PRO.

А потом придет Евгений и скажет «вы всё врёти!». Пытался быть объективным.

Думаешь он нашёл больше, чем исправил? ))

Что касается Ace, видимо меня сбил с толку первоисточник.

В рассылке говориться про теги MODX, а не PHP. Пытаюсь быть точным ))

Благодаря усилиям и помощи @Евгений Борисов исправлены не все, но многие XSS уязвимости в админке MODX.

Мне кажется, так звучит более оптимистично —

Благодаря усилиям и помощи @Евгений Борисов исправлены найденные XSS уязвимости в админке MODX.

А то «не все, но многие» вызывает ощущение дырявости админки.

Ace 1.8.0 – добавлена возможность автозавершения тегов PHP по Ctrl + Space. Не все поддерживается, но уже хорошо.

Не знаю насчет тегов, но я добавлял автодополнение функций PHP. Причем делю их на встроенные и пользовательские. Старенький я уже стал. Все названия функций не запомнишь. А на php.net подсказка работает только от начала слова. Т.е. если ввести get_arg, то ничего не найдёт. А Ace выведет func_get_arg(). Таким образом главное помнить любую часть функции, а не только начало. ))
Вань, а что ещё нужно поддерживать?

П.С, Кстати про Ace. Лично мне не хватает блокового комментирования кода и multiple Copy/Paste. Где это править в ядре с ходу разобраться не получилось. А отдельный модуль писать не очень хочется. Может найдётся кто знающий как сделать кошерно?

По хорошему, код проверки нужно менять на более безопасный. Вместо прямого сравнения лучше использовать специальную функцию hash_equals.

Мда. Такой совет явно не вяжется с датой регистрации. (

Этот javascript ни выполняет никаких долгих блокирующих манипуляций. Он просто выставляет переменные. Поэтому его можно оставить.