Сергей Шлоков

Я тогда очень удивился легкомысленности авторов MODX.

Потому что он выложил в открытый доступ дыру.
Уверен на 100%, что данной дырой серьёзные пацаны уже давно пользовались.
Интересно, а в том же WP эта дырка закрыта?

Вообще Марк и вся команда должны Николаю коньяк ИкСо подогнать за такое.

Ура!!!
А автообновление будет работать?

Авторам MODX можно подсмотреть как это сделано у других.

К примеру, здесь кто-то захочет найти статьи по запросу «xPDO update», и что ему выдавать?

Мда.
Но как решение для базовой версии можно сделать такую настройку. Например, сейчас есть такая настройка «Разрешить передачу HTML тегов в POST запросах». А сделать еще типа такой — «Вырезать команды SQL». Если у пользователя простой сайт, то по крайней мере, он будет в безопасности. Поставил MODX и спит спокойно.
А если сайт использует запросы, то граммотный программист должен отключить эту настройку и переименовать таблицы. Как вариант.

Разве? Насколько я помню, Василий писал, что обновление работает только для префикса modx_. Поэтому я когда переехал на modhost вернул таблицам стандартный префикс, чтобы пользоваться этой возможностью.

А вырезать из параметров запроса команды sql поможет решить проблему безопасности?

Поменять префикс у сайта дело 5 минут, если не торопится. Единственный небольшой неудобств — обновление версии. Для пользователей хостинга modhost.pro вообще ужас ужас. ))
Решение. Сделать сниппет с кодом Николая (я где-то год назад давал пример файла с таким же кодом) и перед обновлением вызывать его, чтобы переименовать таблицы с префиксом modx_, а после обновления возвращать опять свой уникальный.
Как мечта — сделать на modhost.pro, чтобы префикс при обновлении или автоматически подцеплялся из файла настроек или запрашивать его у пользователя.

В MODX параметры запроса фильтруются. Может ужесточить правила и вырезать нахрен слова «insert», «update» и «delete» из запроса?

Вот оказывается в чем проблема была. Переделал на некэшированный минифай. Все Ок.

Добавил видео с пакетами.

«За себя, за тебя и за того парня» :)

Пожелание. При покупке автору компонента весточку посылать.

Поправил, спасибо!

Неожиданно! Так как жду отклика от админов. Вечером постараюсь сделать управление пакетами. Как сделаю вышлю бету вам и Владимиру как самым щедрым спонсорам. :)

При получении ответа от сервера очищаем ввод, вставляем ответ и скроллим его вниз.

У меня также. На видео видно.

Ext.getCmp(config.id+'-commandline').setValue('');
...
outputEl.appendChild(newEl);

outputEl — окно-контейнер результатов.
newEl — новый элемент p.
Осталось скролл прикрутить.

или автоматически проматывать. Всё-таки привычнее внизу, все терминалы так работают. Надо подумать.

)) Просто команды пишутся в конец и их не видно. Нужно промотать. Наверно лучше писать их наверх.

Получил и расписался.

Только хотел написать. Почему-то её часто не замечают.

Что такое ЯД?