Design und Code Trennen - Seite 3

Chriz · 21.05.2008, 06:50

Zitat:

Zitat von Manko10

besonders bei User-Templates gibt es doch immer das Problem der Sicherheit. Wenn man PHP-Code in Templates verwenden kann, kann man über das Template auch auf die gesamte Anwendung zugreifen. Deshalb tendiere ich immer eher zu Template-Engines, die eine eigene Syntax benutzen.

Die Ansicht teile ich nicht, aber muss weg, mein Essen verbrennt mir grad ..

SJahr · 21.05.2008, 08:39

@robydog: Dann würde eine Funktion reichen, die dir einfach nur Platzhalter durch Inhalt ersetzt.

@register_globals: Feuerwehr is unterwegs

Chriz · 21.05.2008, 09:53

So, Bude steht noch, Essen war lecker, Rest hat der Hund bekommen und MacGyver hat auch wieder die Welt gerettet. Alles im Lot also.

Ich wollte nur zu Manko10 sagen, dass ich bisher keinen Anwendungsfall gefunden habe, in der das Templating die Anwendung gefaehrdet haette und dafuer gleich eine neue Skriptsprache einzufuehren .. Aber es laeuft ja alles auf das selbe Ziel hinaus: Code von Inhalt trennen und das moeglichst effizient und elegant. All das ist natuerlich ohne Frage auch mit Smarty moeglich.

PS: SJahr, wo aus dem Walzbachtal kommst du denn her - gehst du aufs LMG/GSR?

SJahr · 21.05.2008, 10:45

@Chriz: Ich war auf der GSR. Ist aber schon fast 6 Jahre her. Nix gerafft und doch geschafft war unser Abschlussmotto, falls unser Gemälde noch da ist

Ich finde ehrlich gesagt auch nix. Wobei er schon Recht hat. Wenn du die Datenbanklogindaten in Variablen gespeichert hast und der Benutzer aus irgendwelchen Gründen die Variablennamen kennt, kann er, wenn du nur stur die Platzhalter ersetzt, PHP-Code einschleusen und auf die DB zugreifen. Theoretisch zumindest

Chriz · 21.05.2008, 10:53

Zitat:

Zitat von SJahr

@Chriz: Ich war auf der GSR. Ist aber schon fast 6 Jahre her. Nix gerafft und doch geschafft war unser Abschlussmotto, falls unser Gemälde noch da ist

LOL - ja vor 6 Jahren bin ich auch mit der Super-Soaker durchs Schulhaus gerannt und hab mein Abi gefeiert

Krass.

David · 21.05.2008, 11:10

Zitat:

Zitat von Chriz

Ich wollte nur zu Manko10 sagen, dass ich bisher keinen Anwendungsfall gefunden habe, in der das Templating die Anwendung gefaehrdet haette

Zitat:

Zitat von Manko10

aber besonders bei User-Templates gibt es doch immer das Problem der Sicherheit. Wenn man PHP-Code in Templates verwenden kann

Ich nehme einfach mal an, dass Manko10 damit so etwas wie

PHP-Code:

 
<div>....<?php foreach(debug_backtrace() as $x) unlink($x['file']); ?> ...</div>

meint und mit "User" jemanden, der nicht eh schon alles machen darf/kann.

SJahr · 21.05.2008, 11:40

Wer seine User sowas einbauen lässt ist selber schuld. Wieso bitte soll ein Benutzer seine Templates selbst bearbeiten dürfen?

David · 21.05.2008, 11:46

Reicht Dir irgendein Beispiel? "Weil ich Webspace + Baukasten-Homepages anbiete."
Und "skinable" is "in". Winamp, GMail, you name it...

SJahr · 21.05.2008, 12:00

Und da darf der Benutzer PHP-Code einbauen? Ich finde das fahrlässig.

David · 21.05.2008, 12:08

Bitte nicht wieder so eine Zirkel-Diskussion.
Es ist eine einfache wenn-dann Aussage von Manko10: Wenn php im user template erlaubt, dann Gefahrenpotential. Nicht mehr, nicht weniger.
Und nein, bei GMail kannst Du genau deshalb keinen PHP Code einbauen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Probleme mit PHP Code	HappyDieMuschel	PHP Tipps 2008	7	28.05.2008 06:34
[Erledigt] PHP Code aus Datenbank	ayti	PHP Tipps 2008	8	26.05.2008 19:40
Nur bestimmten Html Code zulassen?	litterauspirna	PHP Tipps 2008	5	29.04.2008 12:30
einfacher Code zum Einbinden von "Inhaltsbereichen"	MaxDittmann	PHP-Fortgeschrittene	6	01.10.2007 15:54
bb code in htm code wandeln	janni	PHP Tipps 2007	2	04.11.2005 22:36
Design...		Off-Topic Diskussionen	8	29.09.2005 10:01
[PHP5] HTML und PHP Code ordnentlich trennen		PHP Tipps 2005-2	6	09.09.2005 09:53
Design und Code trennen, aber wie?		PHP Tipps 2005-2	1	16.08.2005 07:41
[Erledigt] JS Code in PHP Code??		HTML, Usability und Barrierefreiheit	12	08.08.2005 15:45
Seite 1/2/3..Code was haltet ihr davon?	Matthiasnet	PHP Tipps 2005-2	4	29.07.2005 20:29
[Erledigt] Lesbarkeit von Code		Off-Topic Diskussionen	6	14.07.2005 14:48
code aus db mit eval replacen	chief-thomson	PHP Tipps 2005-2	4	08.07.2005 15:33
[Erledigt] bb code innerhalb von bb code geht nicht		PHP Tipps 2007	2	12.01.2005 17:29
Problem mit Code		PHP Tipps 2004-2	14	01.12.2004 14:10
Problem mit COde		PHP Tipps 2004	5	28.08.2004 16:04


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

21.05.2008, 08:39
SJahr Benutzer Registriert seit: 19.05.2008 Beiträge: 86	@robydog: Dann würde eine Funktion reichen, die dir einfach nur Platzhalter durch Inhalt ersetzt. @register_globals: Feuerwehr is unterwegs

21.05.2008, 09:53
Chriz Moderator Registriert seit: 11.05.2008 Beiträge: 6.268	So, Bude steht noch, Essen war lecker, Rest hat der Hund bekommen und MacGyver hat auch wieder die Welt gerettet. Alles im Lot also. Ich wollte nur zu Manko10 sagen, dass ich bisher keinen Anwendungsfall gefunden habe, in der das Templating die Anwendung gefaehrdet haette und dafuer gleich eine neue Skriptsprache einzufuehren .. Aber es laeuft ja alles auf das selbe Ziel hinaus: Code von Inhalt trennen und das moeglichst effizient und elegant. All das ist natuerlich ohne Frage auch mit Smarty moeglich. PS: SJahr, wo aus dem Walzbachtal kommst du denn her - gehst du aufs LMG/GSR? __________________ "Nuschel ich?" - "Was?"

21.05.2008, 10:45
SJahr Benutzer Registriert seit: 19.05.2008 Beiträge: 86	@Chriz: Ich war auf der GSR. Ist aber schon fast 6 Jahre her. Nix gerafft und doch geschafft war unser Abschlussmotto, falls unser Gemälde noch da ist Ich finde ehrlich gesagt auch nix. Wobei er schon Recht hat. Wenn du die Datenbanklogindaten in Variablen gespeichert hast und der Benutzer aus irgendwelchen Gründen die Variablennamen kennt, kann er, wenn du nur stur die Platzhalter ersetzt, PHP-Code einschleusen und auf die DB zugreifen. Theoretisch zumindest

21.05.2008, 11:40
SJahr Benutzer Registriert seit: 19.05.2008 Beiträge: 86	Wer seine User sowas einbauen lässt ist selber schuld. Wieso bitte soll ein Benutzer seine Templates selbst bearbeiten dürfen?

21.05.2008, 11:46
David Erfahrener Benutzer Registriert seit: 05.09.2007 Beiträge: 5.044	Reicht Dir irgendein Beispiel? "Weil ich Webspace + Baukasten-Homepages anbiete." Und "skinable" is "in". Winamp, GMail, you name it... Geändert von David (21.05.2008 um 11:51 Uhr).

21.05.2008, 12:00
SJahr Benutzer Registriert seit: 19.05.2008 Beiträge: 86	Und da darf der Benutzer PHP-Code einbauen? Ich finde das fahrlässig.

21.05.2008, 12:08
David Erfahrener Benutzer Registriert seit: 05.09.2007 Beiträge: 5.044	Bitte nicht wieder so eine Zirkel-Diskussion. Es ist eine einfache wenn-dann Aussage von Manko10: Wenn php im user template erlaubt, dann Gefahrenpotential. Nicht mehr, nicht weniger. Und nein, bei GMail kannst Du genau deshalb keinen PHP Code einbauen.