单独的 php 文件作为模板 - 安全隐患？

Question

我正在研究 php 的模板系统，我开始相信纯 php 代码似乎是我想要使用的解决方案。

我是唯一的开发者，所以没有设计师需要一个被削弱的竞技场来工作。像 smarty 这样的模板引擎似乎受到“内部平台效应”的影响。如果我坚持良好的做法（预先计算的值，仅使用 foreach ），我认为这会奏效。

我的目标是为每个页面共享的 html 字符串提供单一来源。我的想法是一个单独的 php 文件，通过 include 访问，是实现这个目标的好方法。

但是，我担心这可能会给网站带来安全隐患——我目前想不出任何具体的内容，但有人可能会猜到模板的名称并直接请求它，可能会暴露一些东西他们不需要看到。 （我想我可以检查一下它本身是否是请求。）我有预感这可能很糟糕，所以我不想继续这样做，创造我担心会发生的事情，然后把那个工作扔掉。

如果单独的文件不是最好的主意，我还应该使用什么来基本上存储整个站点的字符串？包含中的字符串常量，我可以在 sprintf() 中使用吗？从页面特定的 html 部分的参数返回 html 字符串的函数？

Answer 1

不应通过 HTTP 提供的文件应存储在一个目录中，您的网络服务器将不允许从该目录中向用户提供任何（至少不是 PHP）。

两种可能：

• 将这些文件放在DocumentRoot 之外
• 或将这些文件放在子目录中，Apache 将无法从中提供任何文件。

此类“未提供”文件通常包括以下内容：

• 配置文件
• 库/框架
• 数据文件（例如 SQLite 数据库；或 i18n 文件）

第一个解决方案：您的目录可能如下所示：

• data/
  • i18n/
  • i18n/your-file-here.php
• library/
• www/         
  • index.php
  • another-php-file.php

对于第二种解决方案，只需禁用对包含“数据”或“库”文件的目录的访问，在其中放入一个 .htaccess （如果您的网络服务器是 Apache） 包含类似内容的文件 p>

Deny From All

这样，Apache 将不允许任何人通过 HTTP 直接访问该目录中的文件，但您的可执行 PHP 脚本（在另一个目录中） 仍然能够包含它们。

Answer 2

简单，真的；将文件命名为您想要的任何名称，但使用“.inc.php”作为扩展名，然后在文件顶部包含此行：

if (basename(__FILE__) == basename($_SERVER['SCRIPT_FILENAME'])) {
    die;
}

如果直接访问文件，这将终止脚本。

编辑：Pascal Martin 的解决方案可能更符合 BCP，而我的解决方案更加快速和肮脏。两种我都用过，感觉都不错。

Answer 3

我也喜欢使用单独的模板文件。通常我会在我的配置文件中定义一个常量，然后在包含的文件的顶部对该常量进行检查，如下所示：

在配置中设置常量：

define('_VALIDPAGE', true);

检查包含文件中的常量：

defined('_VALIDPAGE') or die('Not allowed');

这使得包含的文件只能从您的应用程序中加载。

Answer 4

你是对的，php 本身就是一个很好的模板系统，只要你在“模板”文件中坚持它的某个子集。但坚持每个网页使用一个模板是不切实际的：您通常会发现片段在多个模板上重复。

无论如何，单独的文件很好。根据我的经验，将模板放入与源目录（树）分开的目录（树）中是个坏主意：概念上的距离越来越大，你看不到真正使用的东西和没有使用的东西，结果，你有很多模板已经死了但没有被埋葬，因为它们的状态不是那么明显。

我的建议：将“模板”与“程序”文件放在一起，并使用适当的 Web 服务器配置进行保护

DocumentRoot /www
AddType application/x-httpd-php .php

<Files ~ \.tpl$>
 deny from all
</Files>

/www/
  dir1/
    file.php
    file.tpl
    another-file.tpl
  dir2/
    other-file.php
    other-file.tpl
    yet-another-file.tpl
  ...
  common/
    shared-file.tpl
    another.tpl