Алексей Шумаев

Андрей, дело не в этом. Ваша точка зрения — со стороны разработчика, есть и другой взгляд на проблему.
У меня есть печальный опыт борьбы с последствиями инсайда. Тут тоже самое — добыл ограниченный доступ к панели (это просто!) — сохранил в ресурсе сниппет и готово — авторизовался под админом (например). Редиске даже думать не надо будет — «эксплоит» он сможет купить где надо.
Для любого серьёзного сайта — это крайне опасно. Выход тут действительно один — не давать доступ вообще. Никакие базовые авторизации глобально не помогут, корпоративные сети никто не отменял. Про резервные копии — когда вы обнаружите проблему, чистых уже может у вас и не быть (проходили).

Благодарю!

Это понятно.
Однако нам всем нужно понимать: если вы отвечаете за сайт (поддерживаете), но даёте доступ представителю клиента для управления контентом (у нас же ещё и CMS) — то… ну вы понимаете. Можно даже не настраивать права — как бы и не зачем.

Василий, это не сарказм, если что — я с большим уважением отношусь ко всем участникам сообщества и не желаю менять систему — она мне нравится.

Я вижу в этом большую проблему и не только в случае поддержки сайта после запуска (это важно!), а вообще для будущего modx. Редкие, но меткие комментарии Евгения показывают нам нехорошее, особенно в ретроспективе.

Сейчас идёт активное развитие системы, это отлично. При этом развивается и коммерческая часть — великолепно, но вот тут-то наличие таких фичей на мой взгляд недопустимо. Такие факторы будут тормозом для дальнейшего развития системы. Дыры в компонентах, массовые взломы — это одно, а наличие перманентной «багофичи» — уже совсем другое.

Есть сомнения в этом )
Ограниченные доступы легко расходятся по рукам.
Как показывает время, любая бага/фича рано или поздно используется, когда информация о ней попадает в соответствующие «справочники».
Для популярных сайтов — там вообще охота идёт за любой информацией и получение любым способом доступа к админке от «доверенных юзеров» — не проблема для соответствующих «товарищей».

Оффтоп, но не могу не спросить.
С интересом наблюдаю за комментариями после сообщения Евгения.
Мне одному интересны следующие моменты: знают ли про «дырень» разработчики, учитывается для modx3?

Компонент классный, спасибо!

Павел, спасибо.
msOptionsPrice2 — классный компонент. Из моего опыта — я его сильно модифицировал (оптовые цены, совместимость с msDiscount) под проект и заложенный функционал сильно порадовал.

если сниппет возвращает 1, печатаем text1. Если сниппет возвращает 0, печатаем text2

Понятнее можно сделать так (fenom):

{var $a = 'test' | snippet}
{if $a == 1}
   text1
{else}
    text2
{/if}

Да (за синтаксис сейчас не скажу — редко пользуюсь).
Нюанс: исключите из поиска /core/cache/ как минимум. Или убейте папки до сканирования )

Смотрите лог ошибок сервера. Это не тот случай.

Можно. Но если после установки ошибка будет, то в некоторые таблицы нужно будет руками поля добавлять.
Я сейчас не вспомню точно, инфа на Bob's Gides есть. Ну или просто постепенно обновить.

Да, отписался им, жду.

Вот этого опасайтесь особо. Был у меня такой случай несколько лет назад — адов труд по чистке обеспечен.
В этом случае, если сайт достаточно популярен, гарантированы очень хорошие закладки по всему сайту.
Спасение только в контроле за всем файлами сайта.

Как раз есть актуальный тест.
Эх, а я воевал 2 недели с Яндексом, чтобы включили старое API.
Кстати, сейчас у них поддержка очень плохо отвечает, то, что раньше решалось за 2 часа — теперь на 2 суток растягивается.
Сейчас свяжусь с Яндексом на предмет верстать всё обратно и сообщу, если никто больше не отзовётся.

Это да, конечно. Я пропустил в запарке — привык важные новости на modx.pro смотреть.
Собственно, почему написал про эту рассылку — пост на главной в сообществе появился только сегодня (или у меня одного?) — был удивлён. Хотя сейчас вижу, что дата стоит своевременная — 14.07.

Вот такое письмо получил ещё 13.07.18 через 2 руки, поэтому отправителя не знаю:

Две критических уязвимости в MODx Revolution.
Если ваш сайт работает на MODx Revolution, у нас для вас плохие новости. Разработчики обнаружили (и уже исправили) в ней две критических уязвимости: первая позволяет одним запросом стереть сайт, вторая — загрузить произвольный файл (в том числе php-скрипт) и удаленно выполнить код (RCE).
modx.com/blog/modx-revolution-2.6.5
Данным уязвимостям подвержены все версии, включая 2.6.4. Рекомендуем срочно обновить CMS до 2.6.5.

Из-за аврала не успел проверить и написать сюда, тем более ссылка с описанием уязвимости не открывается на странице блога.

Готового не знаю, не нужен (т.к. часто нужны уникальные обработки под проект).
Я использую свой класс на основе:

$data = file_get_contents($xmlFile);
 $xml = @simplexml_load_string($data);
 $list = json_decode(json_encode($xml),1);
foreach ($list['элемент'] as $items) {
// тут нужные обработки и запуск процессоров на добавление/обновление
}

Ничего сложного, я советую один раз сделать самому и потом использовать в работе как заготовку, чем постоянно настраивать/править готовое решение.
Если нужно, могу скелет класса набросать.

Павел, спасибо!

По MS2 и магазину запчастей (есть опыт) могу сказать пару слов.
У меня есть магазин на MS2 с 22000 товаров с посещаемостью ~ 1500 уников в сутки, которые там активно ползают. На минимальном тарифе modhost — всё нормально, тормозов нет.

В вашем случае при подключении внешних поставщиков — я бы не стал хранить запчасти как товары ни в каком виде. Их будет ОЧЕНЬ (бесконечно) много. Через API (а у вас запросто будет несколько поставщиков с разными api) ведётся только поиск запчастей, в заказ они попадают как «Заказной товар» с данными от поставщика: цена, артикул и т.д.
В моём случае из нестандартных работ по сайту запчастей был как раз модуль подключения разных api от разных поставщиков с целью автоматического поиска всех предложений.

Увы. Пока, где необходимость возникала, хватает указанного мной выше способа; не было времени и стимула заняться вопросом плотнее.
Навскидку могу такой способ предложить (не проверял):
1. расширить таблицу опций плагином на OnMODXInit
2. добавить логику сортировки в плагине на событие OnDocFormSave

Не проверял, просто как совет.
Опции в админке по-моему видны, но в JSON.
Думаю не трудно изменить метод cleanup в файле core/components/minishop2/processors/mgr/orders/product/get.class.php, чтобы отдавать список опций в виде списка с названиями опций по словарю.
Если получится, сохраните рядом копию файла, чтобы при обновлении не потерялся код.