leonv

Weil unter bestimmten Umständen über die Temlates Code eingeschleust werden kann, habe als User schonmal bei einigen Seiten erfolgreich ausprobiert (nicht ausgenutzt).

XML bietet zur Datenübergabe wesentlich sicherere Methoden die zudem standartisiert sind.

__________________
Kreativität und Schöpfung durch Chaos und Ordnung.

Mister Ad

Destruction

Ich denke aber, dass das wohl eher auf den Programmierer ankommt, wie sicher er das ganze macht. Kann mir nicht vorstellen dass diese Sicherheitslücke generell bei Smarty besteht. Ist ja mittlerweile doch sehr bekannt .
So lange man die Variable security auf true setzt sollte da nicht so viel möglich sein.
cu
Grüße
Destruction

Edit.: und selbst wenn security nicht auf true ist sollte eigentlich nichts passieren ( wie gesagt, wenn der Code sauber ist ).

__________________
"Dummheit redet viel..Klugheit denkt und schweigt.." [Amgervinus]

dr.e.

Das mag sein, nur PHP als ausführbare View-Sprache zu nutzen ist de facto mit einer gewissen Unsicherheit behaftet. Nicht zu letzt aus diesem Grund setzt das APF beispielsweise auf X(H)TML-Templates mit APF-Tags, die nicht als PHP-Code interpretiert werden. Injections in das Template sind damit per (Software-)Design nicht möglich.

__________________
Viele Grüße,
Dr.E.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. Think about software design before you start to write code!
2. Discuss and review it together with experts!
3. Choose good tools (-> Adventure PHP Framework (APF))!
4. Write clean and reusable software only!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

xm22

Auch beim APF kann man selbst ohne php wunderbar Javascript einbauen. Wenn man Entwickler oder Designer im Haus hat, die einem Schadcode in die Templates programmieren wollen, hat man ganz andere Probleme..


EDIT: Grammatikfehler korrigiert.

Destruction

Finde leiter zum Thema "Sicherheit Smarty" nichts bei Google =/ =/

__________________
"Dummheit redet viel..Klugheit denkt und schweigt.." [Amgervinus]

cycap

Nun, um zum eigentlichen Thema zurück zu kehren: Ich denke Template Engines wie Smarty haben durchaus ihre Daseins-Berechtigung.

Wenn wirklich große Projekte anstehen, wo es spezielle Abteilungen / Leute gibt die für das Design bzw. allgemein die Darstellung zuständig sind, so vereinfachen solche Template-Engines die Arbeit indem sie eine einheitliche Schnittstelle darstellen, die die Kommunikation zwischen Designer und Programmierer vereinfacht. Außerdem ist es sicherlich hilfreich wenn man wirklich viele verschiedene Views hat, die sich kaum ähneln.

Ein weiteres Argument für Smarty (was mir mal zu Ohren gekommen ist) ist das intergrierte Template-Caching, ob das allerdings tatsächlich Vorteile bringt weiss ich nicht, damit hab ich noch nicht weiter befasst.

Im Moment arbeite ich an einem Projekt wo Smarty eingesetzt wird, allerdings ist es wohl genau so eines, wo Smarty eher ungeeignet ist. Ich hab viele Templates die sich sehr ähnlich sind und da geht dann die rumkopiererei los und man fühlt sich wie in vergangenen Zeiten, wo man selbst noch in PHP programmiert hat ohne OO einzusetzen. Um zum Beispiel ein Dropdown (<select>) mit Daten zu füllen und die Vorauswahl zu treffen wird eigentlich immer der gleiche Code benutzt, nur mit anderen Werten gefüllt. Will ich jetzt diesen Smarty-Code wiederverwenden hilft nur entweder copy n' paste oder aber jedes einzelne HTML element auslagern und dank fehlender vererbung (ich hoffe ich erzähl jetzt keinen quatsch) bei kleinen modifikationen im einzelfall wieder copy n' paste.

Flor1an

Da grade PHP von vielen Hobby-Website-Entwicklern genutzt wird und nicht jeder so tief in die Materie einsteigen möchte bis er komplexe Softwaredesign Ansätze versteht ist es meiner Meinung nach durch aus angebracht Smarty einzusetzen. Grad wenn es private Webseiten sind, für die Schule, für den Bäcker neben an oder für den Verein. Smarty ist einsteigerfreundlich, bietet grundsätzlich ein Trennung zwischen PHP und HTML und verfügt eben wie cycap schon sagt über Caching.

Ich betreue eine Webseite die recht teilweise höhere Zugriffszahlen hat, da ich die Webseite noch nicht komplett neu schreiben konnte muss ich halt versuchen an dem alten fertig Skript mehr oder weniger versuchen die Performance zu steigern. Da hilft das Smarty Caching schon enorm, auch wenn keine ideale Lösung ist.

__________________
▇█▓▒░◕‿‿◕░▒▓█▇

Koala

ich bin froh wenn der Bäcker bei seinen Brötchen bleibt.
Wenn er Smarty kann, dann kann er auch statische html-Seiten erstellen.
Zu was dann php ?

Bei nem Verein oder ner Schule ist es vielleicht was anderes.

Übrigens:
bei Typollight gibt es keine Templates mehr:
da wird nur noch im Admin per CSS gestylt.

Flor1an

Das stylen per CSS und Templates haben eigentlich gar nichts mit einander gemeinsam.

Irgendwie muss der HTML Code ja generiert werden und das sollte nicht direkt im PHP Code gemacht werden.

Und das mit dem Bäcker war doch nur nen Beispiel, kann ja sein dass nen Hobby Entwickler FÜR den Bäcker nebenan die Webseite macht und nen Admincenter bastelt damit der Bäcker die Brötchenpreise jeden Tag ändern kann ...

__________________
▇█▓▒░◕‿‿◕░▒▓█▇

xm22

Warum nicht?