13 ноября 2016, 19:43 Что-то пошло не так. Безопасность / Потенциальная уязвимость при получении объекта xPDO 28 +1
13 ноября 2016, 19:41 Тема явно произвела впечатление. Безопасность / Критическая уязвимость в MODX Revolution 340 +3
13 ноября 2016, 13:21 Иииииихаааааааа. )) Теперь держимся крепче, чтобы не вывалиться. Безопасность / Потенциальная уязвимость при получении объекта xPDO 28 0
13 ноября 2016, 08:57 Видимо они вовсю пользуются возможностью передавать сырой SQL. Им твоя заплатка поломает сайты. А на своих сайтах нам надо повесить предупреждение для хакеров, чтобы они не посылали чистые sql запросы, ведь нужно использовать первичные ключи. Так Джейсон сказал!!! Немного конспирологии… А может они специально оставляют эти дырки по просьбе АНБ. :) Безопасность / Потенциальная уязвимость при получении объекта xPDO 28 +6
12 ноября 2016, 12:45 Точно. Вернул всё взад, теперь работает как надо. Новые дополнения и их версии / [Tickets] 1.7.0 улучшения рейтингов и ускорение работы 55 0
12 ноября 2016, 12:37 В общем, у меня на сайте, если открыть любую статью получаю количество просмотров для первой статьи. Данные формирует сниппет TicketMeta. Новые дополнения и их версии / [Tickets] 1.7.0 улучшения рейтингов и ускорение работы 55 0
12 ноября 2016, 12:09 Василий, а так должно быть? После обновления не мог понять, почему у меня при просмотре любой статьи показывает одни и те же данные о просмотре (только первой). Новые дополнения и их версии / [Tickets] 1.7.0 улучшения рейтингов и ускорение работы 55 +1
12 ноября 2016, 10:46 Я себе добавил. Заодно и потестирую. Безопасность / Критическая уязвимость в MODX Revolution 340 0
12 ноября 2016, 10:42 Предложил код автору xPDO, буду ждать ответа. Не забывай, сейчас выходные. Да ещё Рождество и Новый год скоро… Надеюсь, хотя бы в третьей версии MODX добавят. Осталось набраться терпения. :) Ибо неведомы автору xPDO наши переживания, чего ему ноги ломать… Безопасность / Критическая уязвимость в MODX Revolution 340 0
12 ноября 2016, 08:52 Но я уже ни в чём не уверен. Я тоже. В этом плане знаний маловато. Просто исхожу из комментария Евгения Это проблему не решает. Есть куча точек в хода из различных компонентов, которые оставляют коннекторы в /assets/components/Насколько я понимаю, именно для этого скрывается папка с коннекторами, а тут лежит в открытом доступе. Очень хочется, чтобы Евгений успокоил насчет этого. Безопасность / Критическая уязвимость в MODX Revolution 340 +1
12 ноября 2016, 08:22 Думаю, так правильней. Посмотрел Tickets (только он открыт). mSearch2 и Office обновил не глядя. Данный фикс немного меня успокоил. Я всегда так фильтрую данные в своих компонентах (на всякий ещё проверю все). Я про это даже статью год назад написал. Возможно Евгений её раскритикует, но для обсуждаемого случая она актуальна. Но этот фикс решает половину проблемы. Что делать с коннектором (connector.php)? Евгений заходит через него. Запрос в ObjectGetProcessor с кривым id и милости просим. MODX это не фильтрует. Т.е. надо переопределять метод initialize для всех get/update/delete процессоров и фильтровать в нём id. public function initialize() { $primaryKey = (int) $this->getProperty($this->primaryKeyField,false); $this->setProperty($this->primaryKeyField, $primaryKey) return parent::initialize(); }Очень хотелось бы услышать мнение Евгения по этому поводу. П.С. По хорошему, MODX должен в процессоре смотреть мету ключа и фильтровать. Безопасность / Критическая уязвимость в MODX Revolution 340 +2
12 ноября 2016, 07:33 А сегодня весь день буду обновлять свои дополнения на предмет фильтрации этих слепых SQL в запросах.Нам всем теперь нужно это сделать. Было бы неплохо написать про это инструкцию. Безопасность / Критическая уязвимость в MODX Revolution 340 0
11 ноября 2016, 22:15 Это не ко мне. Это как если бы спросил про влияние планеты Нептун на рождаемость сурикатов в неволе. Вопросы / Настройка server_protocol 11 0
11 ноября 2016, 21:38 Этот тег отвечает за относительные адреса в ссылках, путях картинок и т.п. Он не влияет на адрес внутренних страниц. Видимо где-то сломана переадресация. Вопросы / Настройка server_protocol 11 0
11 ноября 2016, 21:36 Невозможно перейти на по этой ссылке. Видимо Василий зафильтровал всё нафиг. :) Безопасность / Критическая уязвимость в MODX Revolution 340 +1
10 ноября 2016, 22:57 В теге base прописать адрес сайта href=«https:/site.ru/» вместо href="[[+site_url]]". Этот адрес должен быть прописан на всех страницах сайта. Вопросы / Настройка server_protocol 11 0
10 ноября 2016, 22:54 Почему настройки server_protokol не соответствуют тому, что выводит [[++site_url]] Потому что эта настройка нигде не используется. Вопросы / Настройка server_protocol 11 0
08 ноября 2016, 14:16 Была такая мысль. Безопасность / Критическая уязвимость в MODX Revolution 340 +1
08 ноября 2016, 13:31 Йошкин кот. Пошёл изучать laravel. Безопасность / Критическая уязвимость в MODX Revolution 340 +1
Возможно ли реализовать возможность предоплаты за доставку на сайте? У меня Робокасса, у них вроде есть docs.robokassa.ru/ru/iframe
Редизайн сообщества На больших экранах основной текст статьи я бы сделал 18 px. Да и текст комментариев можно таким сделать. Для меня лично 16 — мелковато на больших экранах (в комментариях вообще 15 ...
MiniShop3 1.11.0 при клике на radio идет пересчет итоговой суммы в orderUI, в зависимости от способов(оплаты доставки) я так поняла. попробуй код запуска события поставить ниже чем orderUI, после
ImageOptimizer - WebP/AVIF и responsive <picture> для MODX 3 Дополнение доступно modstore.pro/packages/photos-and-files/imageoptimizer
Localizator3 для MODX 3: перевод полей и TV без отдельного context на язык, Vue 3 + PrimeV... Добавил localizator3_default_language
msInShopNotify Начиная с версии 3.0.0-beta добавлена поддержка MiniShop3 Минимальные требования: PHP 8.4 MODX 3.2 MiniShop3
MaxNotify Обновление 1.2.0-pl (03.07.2026) — добавлены уведомления о заявках FormIt через hook-сниппет `maxNotifyFormIt`; — добавлены уведомления о заявках SendIt через hook-...
[msBonus2] 1.3.0 Бонус-коды, уведомления о сгорании и совместимость с msMultiCurre... Да, планируется. Даже чуть больше, чем просто бонусная система)
А на своих сайтах нам надо повесить предупреждение для хакеров, чтобы они не посылали чистые sql запросы, ведь нужно использовать первичные ключи. Так Джейсон сказал!!!
Немного конспирологии… А может они специально оставляют эти дырки по просьбе АНБ. :)
После обновления не мог понять, почему у меня при просмотре любой статьи показывает одни и те же данные о просмотре (только первой).
Ибо неведомы автору xPDO наши переживания, чего ему ноги ломать…
Насколько я понимаю, именно для этого скрывается папка с коннекторами, а тут лежит в открытом доступе.
Очень хочется, чтобы Евгений успокоил насчет этого.
Посмотрел Tickets (только он открыт). mSearch2 и Office обновил не глядя. Данный фикс немного меня успокоил. Я всегда так фильтрую данные в своих компонентах (на всякий ещё проверю все). Я про это даже статью год назад написал. Возможно Евгений её раскритикует, но для обсуждаемого случая она актуальна.
Но этот фикс решает половину проблемы. Что делать с коннектором (connector.php)? Евгений заходит через него. Запрос в ObjectGetProcessor с кривым id и милости просим. MODX это не фильтрует.
Т.е. надо переопределять метод initialize для всех get/update/delete процессоров и фильтровать в нём id.
Очень хотелось бы услышать мнение Евгения по этому поводу.
П.С. По хорошему, MODX должен в процессоре смотреть мету ключа и фильтровать.