Сергей Шлоков

Это проблема не минифая, а MODX.

Но если ты считаешь, что я отмахнулся от проблемы и повёл себя как мудак — твоё право.

Да я вроде тоже не предлагал демонстрировать это на моих проектах, не правда ли?

Как и авторы MODX. Но там ты встал на сторону Евгения, а тут на противоположную. Непоследовательно.
Одно дело у меня на сайте пошалить, а другое дело обратить внимание человека, на котором лежит большая ответственность — у многих из нас сайты размещаются на modhost.pro, который работает на MODX, и это вызывает обоснованное беспокойство.

Могу ошибаться, но по-моему, вот это было изначально в статье.

Кто хочет ощутить это на себе, может в комментах написать ссылку на сайт.

Про доступ в админку тут не слова. Лично мне было интересно проверить, но я не рискнул. Страшновато.

Евгения Борисова, помню, в итоге вообще обматерили.
...

Ну, иначе высокое руководство не считало те дыры — дырами, и отмахивались, мол так и задумано.
Пришлось доказывать на их же сайте.

Кстати, пока Николай не залез к тебе, ты тоже отмахнулся. И ответная реакция у тебя тоже практически матерная.

Дмитрий, а как вы пришли к выводу, что это именно из-за темы dark?

Я тогда очень удивился легкомысленности авторов MODX.

Потому что он выложил в открытый доступ дыру.
Уверен на 100%, что данной дырой серьёзные пацаны уже давно пользовались.
Интересно, а в том же WP эта дырка закрыта?

Вообще Марк и вся команда должны Николаю коньяк ИкСо подогнать за такое.

Ура!!!
А автообновление будет работать?

Авторам MODX можно подсмотреть как это сделано у других.

К примеру, здесь кто-то захочет найти статьи по запросу «xPDO update», и что ему выдавать?

Мда.
Но как решение для базовой версии можно сделать такую настройку. Например, сейчас есть такая настройка «Разрешить передачу HTML тегов в POST запросах». А сделать еще типа такой — «Вырезать команды SQL». Если у пользователя простой сайт, то по крайней мере, он будет в безопасности. Поставил MODX и спит спокойно.
А если сайт использует запросы, то граммотный программист должен отключить эту настройку и переименовать таблицы. Как вариант.

Разве? Насколько я помню, Василий писал, что обновление работает только для префикса modx_. Поэтому я когда переехал на modhost вернул таблицам стандартный префикс, чтобы пользоваться этой возможностью.

А вырезать из параметров запроса команды sql поможет решить проблему безопасности?

Поменять префикс у сайта дело 5 минут, если не торопится. Единственный небольшой неудобств — обновление версии. Для пользователей хостинга modhost.pro вообще ужас ужас. ))
Решение. Сделать сниппет с кодом Николая (я где-то год назад давал пример файла с таким же кодом) и перед обновлением вызывать его, чтобы переименовать таблицы с префиксом modx_, а после обновления возвращать опять свой уникальный.
Как мечта — сделать на modhost.pro, чтобы префикс при обновлении или автоматически подцеплялся из файла настроек или запрашивать его у пользователя.

В MODX параметры запроса фильтруются. Может ужесточить правила и вырезать нахрен слова «insert», «update» и «delete» из запроса?

Вот оказывается в чем проблема была. Переделал на некэшированный минифай. Все Ок.

Добавил видео с пакетами.

«За себя, за тебя и за того парня» :)

Пожелание. При покупке автору компонента весточку посылать.

Поправил, спасибо!

Неожиданно! Так как жду отклика от админов. Вечером постараюсь сделать управление пакетами. Как сделаю вышлю бету вам и Владимиру как самым щедрым спонсорам. :)