XSS rozróżniam od RCE ponieważ w pierszym przypadku narażone jest wyłącznie (jeśli mówimy o HTML/JS injection) bezpieczeństwo klientów serwisu, natomiast atak RCE ukierunkowany jest bardziej na sam site.

carstein:

Mnie tam uczyli na bezpieczeństwie systemów, że ataki typu RCE zaliczają się do XSS (nie tylko JS/HTML injection).

Elus:

Chyba że w tym wszystkim chodzi o ograniczone zaufanie do webmastera-designera. Tzn dajemy mu jezyk szablonowy o bardziej ograniczonej (aczkolwiek w zupełności wystarczającej) gramatyce, tak by niczego “nie popsuł”. Z tego jednak co widzę wiekszość systemów szablonowych zostawia w tej kwestii otwartą furtkę (w przypadku szablonu Smarty jest to np. tag {php}).

Chodzi głównie o to. Tag {php} w Smarty wyłącza się jedną linijką w konfiguracji tegoż. Właśnie dlatego, żeby nikt tam ani kawałka kodu nie mógł wstawić.

Nie bardzo rozumiem też akapitu o atakach XSS i tym podobych. Przecież tego typu ataki wynikają ze złej konstrukcji kontrolera (w przeciwnym razie nie można mówić o dobrym rozdzieleniu warstw modelu MVC).

A co powstrzyma pana Stefana przed napisaniem include($_GET['plik']);?

Argumentem na pewno nie jest to ze da sie Smarty nauczyć w przeciągu doby. Śmiem twierdzić, że żeby nauczyć się podstaw PHP w stopniu wystarczającym do zbudowaniu w oparciu o niego szablon wystarczy jeszcze mniej czasu. Zwłaszcza dla webmastera-designera, który w większości przypadków zna konstrukcję zwykłej pętli np. z JavaScript. Do zbudowania samego szablonu nie trzeba przecież znajomości żadnych złożonych konstrukcji językowych/programistycznych. Mimo wszystko myśle że taki {section} jest o wiele bardziej skomplikowany niż zwykły for.

Chyba że w tym wszystkim chodzi o ograniczone zaufanie do webmastera-designera. Tzn dajemy mu jezyk szablonowy o bardziej ograniczonej (aczkolwiek w zupełności wystarczającej) gramatyce, tak by niczego “nie popsuł”. Z tego jednak co widzę wiekszość systemów szablonowych zostawia w tej kwestii otwartą furtkę (w przypadku szablonu Smarty jest to np. tag {php}).

Nie bardzo rozumiem też akapitu o atakach XSS i tym podobych. Przecież tego typu ataki wynikają ze złej konstrukcji kontrolera (w przeciwnym razie nie można mówić o dobrym rozdzieleniu warstw modelu MVC).

Choć nie uważam się za programistę PHP to ostatnio miałem okazję pracować na takim właśnie stanowisku. Popełniłem też kilka szablonów w oparciu o Smarty. I teraz z perspektywy czasu zastanawiam się, czy faktycznie dało mi to taką wygodę i korzyści o jakich się poprzednio nasłuchałem.

uważam, że jeżeli jest projekt który wymaga szybkiego wykonania, a magiczny deadline się zbliża. to rzeczywiście szablony są jak najbardziej przydatne. po pierwsze dlatego, że są sprawdzone, a po drugie nie trzeba wynajdywać koła od nowa.

z drugiej jednak strony, myślę, że jeżeli zajmujemy się swoim autorskim projektem, i chcemy aby wszystko grało - należy cały kod znać, i często ważne jest ,że to nasz kod - więc wiemy co gdzie jest, i ew. co mogliśmy źle zrobić. jednak problemem jest to, że gdy większa ilość osób pracuje przy naszym kodzie(a nie jest robiony obiektowo) to potem szybko można się pogubić.

jak napisałeś - wszystko zależy od klienta i zapotrzebowania.

Ale Smarty działa bez problemu z aplikacjami PHP5. PHP4 nie używamy i nie chodzi mi tylko o numerek :)