Безопасные шаблоны
Безопасные шаблоны
Надо дать пользователю создавать свои шаблоны для отображения неких данных. Простая замена плейсхолдеров в preg_replace не очень подойдет, поскольку данным могут быть в массиве, соответственно надо как-то имитировать foreach или что-то вроде того... Может есть какие безопасные способы такой пользовательской шаблонизации?
Re: Безопасные шаблоны
или смарти подцепить
фор/иф и подобное будет, а вот нативный пхп заюзать не даст ( если отключить эту возможность)
но вот насколько это безопасно - хз
фор/иф и подобное будет, а вот нативный пхп заюзать не даст ( если отключить эту возможность)
но вот насколько это безопасно - хз
Re: Безопасные шаблоны
В первую очередь подумал о прадо, но он ведь будет благополучно выполнять выражения внутри тегов: <% statement %>
А мне требуется выдать пользователю ограниченное количество переменных и уж совершенно точно не пускать никуда.
Смарти -- мысль. Почитаю, что к чему...
А мне требуется выдать пользователю ограниченное количество переменных и уж совершенно точно не пускать никуда.
Смарти -- мысль. Почитаю, что к чему...
Re: Безопасные шаблоны
Вроде то, что надо, особенно обнадеживает Use Case 1 http://www.smarty.net/use_cases... Вроде бы то что надо, но что-то я сходу не пойму, как конкретно можно ограничить функции, выполняемые из шаблона. По умолчанию ведь что хочешь можно делать? Ткните носом, плиз, в какой-нибудь подходящий пример.
UPD: Ага, вроде нашел различные настройки безопасности.. Вопрос снимается
UPD: Ага, вроде нашел различные настройки безопасности.. Вопрос снимается