We launched new forums in March 2019—join us there. In a hurry for help with your website? Get Help Now!
    • 3175
    • 5 Posts
    Скачал, поставил, офигел grin
    Админка очень понравилась, все красиво НО
    Собственно стоит ли начинать разбиратся с системой что бы писать на ней средние сайты?
    Не так что б работало, а так, что бы правильно писать.

    Все совсем не так как обычно, очень много (почти все) новго для меня и вобще сам подход. Что мне и понравилось.

    Почитал отзывы - ругают. Но мне нравится.

    Поковырялся в админке (ну так как больше тут и негде потому как установить шаблон я еще не разобрался smiley и вот что обнаружил, может кто прояснит для меня некоторые моменты что бы я таки начал с ней разбиратся кк говорится вплотную, буду признателен wink

    1) Когда кликаю по пунктам дерева - ну ооочень просится открыватся аяксом в соседней вкладке. Скажите, может кто знает, почему перегружается страница?
    ведь и кнопка "обновить" есть над деревом, ну прям просится "загрузи меня аяксом в правой вкладке и не трогай дерево". Вопрос: почему не открываются свойства/настройки в правом "фрейме", а левый не сделать "статичным", ведь для етого уже все как бы есть, даже кнопка "обновить в дереве"

    2) Открыл вкладку "Файлы". И специально по неосторожности нажал кнопку "развернуть все" и... и все. Начало разворачивать все ветки файлменеджера.. При моем не слабом компе и канале ето показался ужасный процесс. Вопрос: что это нельзя было предусмотреть? Дождался я пока оно загрузится, начал изучать дерево и кликнул по файлу - труба (сказалось полностью развернутое дерево). Не знаю как там устроено то дерево, но у меня подвис браузер после етого. Можно ли сделать по двойному клику открытие свойств папки/файла? Ну листаешь дерево, кликнул что б просто выделить обьект визуально - и опа, уже перегружается страница, оно мен надо?

    3) У файлменеджера/Дерева сайта есть ли постраничная навигация smiley? Не дошел до етого, но будет досадно если нету..

    4) Открыл шаблон админки и нашел возможность вставки XSS (о чем написал автору). Досадно. Очень хочется надеястя что ето была случайность

    // Вобще, когда нахожу например неекранированый запрос, или когда ПОСТ/ГЕТ вставляется просто в шаблон поражаюсь, мне интересно, чем о чем думал программист когда писал

    5) Зачем тут Смарти? Что на нем можно сделать такого чего нельзя без него?
      • 1477
      • 515 Posts
      Quote from: bershadskij at Jul 29, 2010, 04:01 PM

      1) Когда кликаю по пунктам дерева - ну ооочень просится открыватся аяксом в соседней вкладке. Скажите, может кто знает, почему перегружается страница?
      Хороший вопрос. Может в след. версии поправят это дело.

      Quote from: bershadskij at Jul 29, 2010, 04:01 PM

      2) Открыл вкладку "Файлы". И специально по неосторожности нажал кнопку "развернуть все" и... и все. Начало разворачивать все ветки файлменеджера.. При моем не слабом компе и канале ето показался ужасный процесс.
      Ну не знаю. Обычно такое дерево разврачивается быстро, т.к. показываются только папки.

      Quote from: bershadskij at Jul 29, 2010, 04:01 PM

      3) У файлменеджера/Дерева сайта есть ли постраничная навигация smiley? Не дошел до етого, но будет досадно если нету..
      Нигде не видел такого. Зачем там она нужна? У вас в менеджере файлов в ОС есть? Вот и тут не надо).
      Quote from: bershadskij at Jul 29, 2010, 04:01 PM

      4) Открыл шаблон админки и нашел возможность вставки XSS (о чем написал автору). Досадно. Очень хочется надеястя что ето была случайность
      Пока вы не получили ответ от разработчиков делать выводы рано. Возможно там есть какая-то защита, о которой вы не знаете.
      Quote from: bershadskij at Jul 29, 2010, 04:01 PM

      или когда ПОСТ/ГЕТ вставляется просто в шаблон поражаюсь
      В шаблон админки? А кто вам даст использовать этот ПОСТ или ГЕТ если в админку не пускают? В чем уязвимость?

      Quote from: bershadskij at Jul 29, 2010, 04:01 PM

      5) Зачем тут Смарти? Что на нем можно сделать такого чего нельзя без него?
      У Смарти хорошо реализовано кеширование шаблонов. Возможно для этого и взяли, т.к. тут шаблоны не на голом PHP.
        Shopkeeper - сниппет и модуль для создания интернет-магазина.
        TVimageResizer - плагин для изменения размеров (а также наложения водяных знаков и скругления углов) картинок TV при создании документа.
        PickDocsInTree - плагин для выбора документов из дерева.
        Paykeeper 1.5 - Сниппет для онлайн-оплаты в интернет-магазине MODx + Shopkeeper (Webmoney и Robokassa).
        • 3175
        • 5 Posts
        Ну не знаю. Обычно такое дерево разврачивается быстро, т.к. показываются только папки.
        почему только папки, у меня в дереве файлменеджера во вкладке слева показываеться все

        В шаблон админки? А кто вам даст использовать этот ПОСТ или ГЕТ если в админку не пускают? В чем уязвимость?
        http://svn.modxcms.com/svn/tattoo/tattoo/branches/2.0/manager/templates/default/header.tpl
        <script src="{$_config.connectors_url}layout/modx.config.js.php?action={$smarty.get.a}" type="text/javascript"></script>


        надо расказывать где дырка? Небрежность?

        У Смарти хорошо реализовано кеширование шаблонов. Возможно для этого и взяли, т.к. тут шаблоны не на голом PHP.
        ну так а в чем разница то smiley

        Нигде не видел такого. Зачем там она нужна? У вас в менеджере файлов в ОС есть? Вот и тут не надо).
        я же понял что ненадо. я думал тут вся структура задается в дереве, включая статьи в разделах....

        а вобще, кто знает как у етой системы с производительностью? сколько к примеру запросов/время генерации без кеша и голая страница например
          • 1477
          • 515 Posts
          Quote from: bershadskij at Jul 30, 2010, 07:57 AM

          http://svn.modxcms.com/svn/tattoo/tattoo/branches/2.0/manager/templates/default/header.tpl
          <script src="{$_config.connectors_url}layout/modx.config.js.php?action={$smarty.get.a}" type="text/javascript"></script>


          надо расказывать где дырка? Небрежность?
          Даже если {$smarty.get.a} выдает $_GET без фильтрации (в чем есть сомнения), это не дырка, а дырочка smiley, т.к. тот шаблон не будет рендериться, если ты не имеешь логина и пароля от админки. Или я не о том подумал?


          Quote from: bershadskij at Jul 30, 2010, 07:57 AM

          У Смарти хорошо реализовано кеширование шаблонов. Возможно для этого и взяли, т.к. тут шаблоны не на голом PHP.
          ну так а в чем разница то smiley
          Разница Smarty и голого PHP? Странный вопрос.
            Shopkeeper - сниппет и модуль для создания интернет-магазина.
            TVimageResizer - плагин для изменения размеров (а также наложения водяных знаков и скругления углов) картинок TV при создании документа.
            PickDocsInTree - плагин для выбора документов из дерева.
            Paykeeper 1.5 - Сниппет для онлайн-оплаты в интернет-магазине MODx + Shopkeeper (Webmoney и Robokassa).
            • 3175
            • 5 Posts
            Даже если {$smarty.get.a} выдает $_GET без фильтрации (в чем есть сомнения), это не дырка, а дырочка , т.к. тот шаблон не будет рендериться, если ты не имеешь логина и пароля от админки. Или я не о том подумал?
            А если я, скажем твой юзер, а ты - админ. Ты авторизирован в админке. Я даю тебе ссылку на твой же сайт.. типа "посотри что ето у тебя тут такое интересное", только +get.aкакой то внешний мой яваскрипт.. и ты сам по ней переходишь smiley. Т е например могу украсть твою куку сессии, и надеюсь что тут идет еще проверка и по ИП, так как в противном случае можно сразу и получить админа..

            Разница Smarty и голого PHP? Странный вопрос.
            смарти разделяет код?
            А действительно, в чем таки разница?

            {foreach from=$var item=val key=key}
                <a href="{$key}">{$val}</a>
            {/foreach}


            и

            <?foreach($var AS $key=>$val)?{>
                <a href="<?=$key?>"><?=$val?></a>
            <?}?>

            я уже не говорю о работе с массивами в Смарти...
              • 1477
              • 515 Posts
              Quote from: bershadskij at Jul 31, 2010, 06:07 AM

              Т е например могу украсть твою куку сессии...
              Это всё только догадки. Возможно там на самом деле есть дырка, а может нет. Тут надо глубже в исходники смотреть.
              Quote from: bershadskij at Jul 31, 2010, 06:07 AM

              Разница Smarty и голого PHP? Странный вопрос.
              смарти разделяет код?
              А действительно, в чем таки разница?
              Да, Смарти разделяет код. Я думаю тут польза чисто в психологии. Если всем дать возможность в шаблонах писать PHP, они такой огород там понапишут... Мало кто будет задумываться о разделении логики и представления. Смарти тоже позволяет писать чистый PHP, но это очень не приветствуется. У многих "веб-дельцов" аллергия на PHP. Я не говорю, что шаблоны на PHP это плохо в принципе. Чисто для себя это очень хорошо. Но при массовом использовании все-таки Смарти дружелюбнее (для непрограммистов). Вот например вам скрин с шаблона джумлы с реального сайта. Я бы не хотел такое увидеть на MODx. Хотя "огородников" тут тоже хватает, но все же поменьше. Да и не на каждом хостинге включен short_open_tag.
                Shopkeeper - сниппет и модуль для создания интернет-магазина.
                TVimageResizer - плагин для изменения размеров (а также наложения водяных знаков и скругления углов) картинок TV при создании документа.
                PickDocsInTree - плагин для выбора документов из дерева.
                Paykeeper 1.5 - Сниппет для онлайн-оплаты в интернет-магазине MODx + Shopkeeper (Webmoney и Robokassa).
                • 3175
                • 5 Posts
                Да, Смарти разделяет код. Я думаю тут польза чисто в психологии.
                Еще у меня вопрос: так смарти ето только для админки получается?
                в шаблонах (которые как я понял хранятся в базе) смарти как и пхп юзать нельзя?
                  • 1477
                  • 515 Posts
                  Quote from: bershadskij at Aug 01, 2010, 10:46 AM
                  Еще у меня вопрос: так смарти ето только для админки получается?
                  в шаблонах (которые как я понял хранятся в базе) смарти как и пхп юзать нельзя?
                  Вот с этим я пока сам не разобрался). Похоже там другой шаблонизатор. Но зачем тогда для админки Смарти, если есть другой, не понятно.
                    Shopkeeper - сниппет и модуль для создания интернет-магазина.
                    TVimageResizer - плагин для изменения размеров (а также наложения водяных знаков и скругления углов) картинок TV при создании документа.
                    PickDocsInTree - плагин для выбора документов из дерева.
                    Paykeeper 1.5 - Сниппет для онлайн-оплаты в интернет-магазине MODx + Shopkeeper (Webmoney и Robokassa).
                    • 3175
                    • 5 Posts
                    Но зачем тогда для админки Смарти, если есть другой, не понятно.
                    Ну для админки шаблоны хранятся в файлах
                      • 1477
                      • 515 Posts
                      Quote from: bershadskij at Aug 02, 2010, 05:20 AM

                      Ну для админки шаблоны хранятся в файлах
                      Шаблоны сайта тоже можно хранить в файлах (есть полуофициальные способы), шаблонизатору (парсеру) всё равно.
                        Shopkeeper - сниппет и модуль для создания интернет-магазина.
                        TVimageResizer - плагин для изменения размеров (а также наложения водяных знаков и скругления углов) картинок TV при создании документа.
                        PickDocsInTree - плагин для выбора документов из дерева.
                        Paykeeper 1.5 - Сниппет для онлайн-оплаты в интернет-магазине MODx + Shopkeeper (Webmoney и Robokassa).