Я тогда очень удивился легкомысленности авторов MODX.
05 ноября 2016, 18:57
0
Потому что он выложил в открытый доступ дыру.
Уверен на 100%, что данной дырой серьёзные пацаны уже давно пользовались.
Интересно, а в том же WP эта дырка закрыта?
05 ноября 2016, 18:51
0
Вообще Марк и вся команда должны Николаю коньяк ИкСо подогнать за такое.
05 ноября 2016, 18:48
+1
Ура!!!
А автообновление будет работать?
05 ноября 2016, 18:25
0
Авторам MODX можно подсмотреть как это сделано у других.
05 ноября 2016, 18:19
0
К примеру, здесь кто-то захочет найти статьи по запросу «xPDO update», и что ему выдавать?
Мда.
Но как решение для базовой версии можно сделать такую настройку. Например, сейчас есть такая настройка «Разрешить передачу HTML тегов в POST запросах». А сделать еще типа такой — «Вырезать команды SQL». Если у пользователя простой сайт, то по крайней мере, он будет в безопасности. Поставил MODX и спит спокойно.
А если сайт использует запросы, то граммотный программист должен отключить эту настройку и переименовать таблицы. Как вариант.
05 ноября 2016, 18:06
0
Разве? Насколько я помню, Василий писал, что обновление работает только для префикса modx_. Поэтому я когда переехал на modhost вернул таблицам стандартный префикс, чтобы пользоваться этой возможностью.
А вырезать из параметров запроса команды sql поможет решить проблему безопасности?
05 ноября 2016, 17:50
+1
Поменять префикс у сайта дело 5 минут, если не торопится. Единственный небольшой неудобств — обновление версии. Для пользователей хостинга modhost.pro вообще ужас ужас. ))
Решение. Сделать сниппет с кодом Николая (я где-то год назад давал пример файла с таким же кодом) и перед обновлением вызывать его, чтобы переименовать таблицы с префиксом modx_, а после обновления возвращать опять свой уникальный.
Как мечта — сделать на modhost.pro, чтобы префикс при обновлении или автоматически подцеплялся из файла настроек или запрашивать его у пользователя.
В MODX параметры запроса фильтруются. Может ужесточить правила и вырезать нахрен слова «insert», «update» и «delete» из запроса?
05 ноября 2016, 17:34
1
+2
Вот оказывается в чем проблема была. Переделал на некэшированный минифай. Все Ок.
04 ноября 2016, 08:46
+1
Добавил видео с пакетами.
04 ноября 2016, 08:42
+1
«За себя, за тебя и за того парня» :)
02 ноября 2016, 23:38
+3
Пожелание. При покупке автору компонента весточку посылать.
02 ноября 2016, 11:59
+1
Поправил, спасибо!
01 ноября 2016, 16:03
+4
Неожиданно! Так как жду отклика от админов. Вечером постараюсь сделать управление пакетами. Как сделаю вышлю бету вам и Владимиру как самым щедрым спонсорам. :)
01 ноября 2016, 09:05
+2
При получении ответа от сервера очищаем ввод, вставляем ответ и скроллим его вниз.
Уверен на 100%, что данной дырой серьёзные пацаны уже давно пользовались.
Интересно, а в том же WP эта дырка закрыта?
А автообновление будет работать?
Но как решение для базовой версии можно сделать такую настройку. Например, сейчас есть такая настройка «Разрешить передачу HTML тегов в POST запросах». А сделать еще типа такой — «Вырезать команды SQL». Если у пользователя простой сайт, то по крайней мере, он будет в безопасности. Поставил MODX и спит спокойно.
А если сайт использует запросы, то граммотный программист должен отключить эту настройку и переименовать таблицы. Как вариант.
А вырезать из параметров запроса команды sql поможет решить проблему безопасности?
Решение. Сделать сниппет с кодом Николая (я где-то год назад давал пример файла с таким же кодом) и перед обновлением вызывать его, чтобы переименовать таблицы с префиксом modx_, а после обновления возвращать опять свой уникальный.
Как мечта — сделать на modhost.pro, чтобы префикс при обновлении или автоматически подцеплялся из файла настроек или запрашивать его у пользователя.
В MODX параметры запроса фильтруются. Может ужесточить правила и вырезать нахрен слова «insert», «update» и «delete» из запроса?
outputEl — окно-контейнер результатов.
newEl — новый элемент p.
Осталось скролл прикрутить.