и вот что обнаружил, может кто прояснит для меня некоторые моменты что бы я таки начал с ней разбиратся кк говорится вплотную, буду признателен 
? Не дошел до етого, но будет досадно если нету..
Хороший вопрос. Может в след. версии поправят это дело.
1) Когда кликаю по пунктам дерева - ну ооочень просится открыватся аяксом в соседней вкладке. Скажите, может кто знает, почему перегружается страница?
Ну не знаю. Обычно такое дерево разврачивается быстро, т.к. показываются только папки.
2) Открыл вкладку "Файлы". Испециальнопо неосторожности нажал кнопку "развернуть все" и... и все. Начало разворачивать все ветки файлменеджера.. При моем не слабом компе и канале ето показался ужасный процесс.
Нигде не видел такого. Зачем там она нужна? У вас в менеджере файлов в ОС есть? Вот и тут не надо).
3) У файлменеджера/Дерева сайта есть ли постраничная навигация
Пока вы не получили ответ от разработчиков делать выводы рано. Возможно там есть какая-то защита, о которой вы не знаете.
4) Открыл шаблон админки и нашел возможность вставки XSS (о чем написал автору). Досадно. Очень хочется надеястя что ето была случайность
В шаблон админки? А кто вам даст использовать этот ПОСТ или ГЕТ если в админку не пускают? В чем уязвимость?
или когда ПОСТ/ГЕТ вставляется просто в шаблон поражаюсь
У Смарти хорошо реализовано кеширование шаблонов. Возможно для этого и взяли, т.к. тут шаблоны не на голом PHP.
5) Зачем тут Смарти? Что на нем можно сделать такого чего нельзя без него?
Ну не знаю. Обычно такое дерево разврачивается быстро, т.к. показываются только папки.почему только папки, у меня в дереве файлменеджера во вкладке слева показываеться все
В шаблон админки? А кто вам даст использовать этот ПОСТ или ГЕТ если в админку не пускают? В чем уязвимость?http://svn.modxcms.com/svn/tattoo/tattoo/branches/2.0/manager/templates/default/header.tpl
<script src="{$_config.connectors_url}layout/modx.config.js.php?action={$smarty.get.a}" type="text/javascript"></script>У Смарти хорошо реализовано кеширование шаблонов. Возможно для этого и взяли, т.к. тут шаблоны не на голом PHP.ну так а в чем разница то
Нигде не видел такого. Зачем там она нужна? У вас в менеджере файлов в ОС есть? Вот и тут не надо).я же понял что ненадо. я думал тут вся структура задается в дереве, включая статьи в разделах....
Даже если {$smarty.get.a} выдает $_GET без фильтрации (в чем есть сомнения), это не дырка, а дырочка
http://svn.modxcms.com/svn/tattoo/tattoo/branches/2.0/manager/templates/default/header.tpl
<script src="{$_config.connectors_url}layout/modx.config.js.php?action={$smarty.get.a}" type="text/javascript"></script>
надо расказывать где дырка? Небрежность?
, т.к. тот шаблон не будет рендериться, если ты не имеешь логина и пароля от админки. Или я не о том подумал?Разница Smarty и голого PHP? Странный вопрос.
У Смарти хорошо реализовано кеширование шаблонов. Возможно для этого и взяли, т.к. тут шаблоны не на голом PHP.ну так а в чем разница то
Даже если {$smarty.get.a} выдает $_GET без фильтрации (в чем есть сомнения), это не дырка, а дырочка , т.к. тот шаблон не будет рендериться, если ты не имеешь логина и пароля от админки. Или я не о том подумал?А если я, скажем твой юзер, а ты - админ. Ты авторизирован в админке. Я даю тебе ссылку на твой же сайт.. типа "посотри что ето у тебя тут такое интересное", только +get.aкакой то внешний мой яваскрипт.. и ты сам по ней переходишь
. Т е например могу украсть твою куку сессии, и надеюсь что тут идет еще проверка и по ИП, так как в противном случае можно сразу и получить админа..Разница Smarty и голого PHP? Странный вопрос.смарти разделяет код?
{foreach from=$var item=val key=key}
<a href="{$key}">{$val}</a>
{/foreach}<?foreach($var AS $key=>$val)?{>
<a href="<?=$key?>"><?=$val?></a>
<?}?>
Это всё только догадки. Возможно там на самом деле есть дырка, а может нет. Тут надо глубже в исходники смотреть.
Т е например могу украсть твою куку сессии...
Да, Смарти разделяет код. Я думаю тут польза чисто в психологии. Если всем дать возможность в шаблонах писать PHP, они такой огород там понапишут... Мало кто будет задумываться о разделении логики и представления. Смарти тоже позволяет писать чистый PHP, но это очень не приветствуется. У многих "веб-дельцов" аллергия на PHP. Я не говорю, что шаблоны на PHP это плохо в принципе. Чисто для себя это очень хорошо. Но при массовом использовании все-таки Смарти дружелюбнее (для непрограммистов). Вот например вам скрин с шаблона джумлы с реального сайта. Я бы не хотел такое увидеть на MODx. Хотя "огородников" тут тоже хватает, но все же поменьше. Да и не на каждом хостинге включен short_open_tag.
Разница Smarty и голого PHP? Странный вопрос.смарти разделяет код?
А действительно, в чем таки разница?
Да, Смарти разделяет код. Я думаю тут польза чисто в психологии.Еще у меня вопрос: так смарти ето только для админки получается?
Еще у меня вопрос: так смарти ето только для админки получается?Вот с этим я пока сам не разобрался). Похоже там другой шаблонизатор. Но зачем тогда для админки Смарти, если есть другой, не понятно.
в шаблонах (которые как я понял хранятся в базе) смарти как и пхп юзать нельзя?
Но зачем тогда для админки Смарти, если есть другой, не понятно.Ну для админки шаблоны хранятся в файлах
Шаблоны сайта тоже можно хранить в файлах (есть полуофициальные способы), шаблонизатору (парсеру) всё равно.
Ну для админки шаблоны хранятся в файлах