PHP 作为存储在 Mysql 中的模板引擎 - 白名单函数

Question

虽然我已经阅读了无数关于使用 PHP 作为模板引擎（使用输出缓冲）的文章，但我仍在尝试为其提供理由。

因为我想知道是否可以使用 PHP 作为 Web 应用程序的模板引擎（用户将能够自己更改布局）——我仍然没有找到有关以下内容的任何信息：

• 将模板存储在 MYSQL 数据库中
• 评估它们
• ，但只包括列入白名单的函数（让它们只能访问一组有限的函数——while、foreach等……）

有人在寻找相同的解决方案，但可以提供更多信息吗？那太好了。

Answer 1

如果您不能信任编辑模板的用户，那么最好使用单独的模板语言。

请注意，许多模板语言（例如 Smarty）也提供代码执行功能。您可能需要在引擎的配置中禁用这些功能。

禁用 PHP 中所有潜在危险的函数是一项非常艰巨的任务，而且很容易搞砸。请参阅可利用的 PHP 函数

Answer 2

PHP 不适合作为模板引擎来满足您的目的。您应该使用具有沙箱支持的正确模板引擎：Twig。

Answer 3

这可能是一项相当困难（但很有趣，如果您感兴趣的话）的任务，因为它涉及构建一个小型 PHP 解析器，它可以完美地识别任何函数调用或方法调用（因为如果您错过了一个，那么您就完蛋了/ hacked/...)，然后检查所有匹配的函数标识符令牌是否都在白名单中，否则拒绝评估。为了生成解析器，您可能需要查看PHP_ParserGenerator，不幸的是它似乎不是不再维护，或lemonPHP/JLexPHP，这可能是最新的，但您需要使用 Java 来生成解析器。

由于所有这些都是一项相当繁琐的任务，因此大多数人求助于使用自定义（虚构的）模板语言，该语言类似于 PHP，但并不完全相同。

流行的 PHP 模板引擎包括：

• Smarty
• Twig
• PEAR 模板引擎
• Savant

更多内容请参见此处 和此处< /a>