kristian+2007-10-10 02:30:21--

Das ist doch Sache des Scriptes, welches die Eingaben prüfen muss und ggf. html_escaped wegschreibt oder sehe ich das falsch?

Für HTML-Escaping gibt es sowohl in HT als auch HTC "ESCAPE=HTML", oder einfacher "default_escape => 'html'"...

Bei "no_includes" wäre es aber schön, wenn man es für einzelne, z.B. "included", Templates ein- und ausschaltbar wäre... So dass ich ein Haupttemplate hätte, was vielleicht noch includes machen darf; ein Template, das vom Haupttemplate "included" wurde aber nicht...

Froschpopo+2007-10-10 02:47:24--

Leider funktion bei HTC kein no_includes wie beim alten HT !!!! Ich würde nämlich notfalls auf INCLUDE's in den für Benutzer zugängigen Bereichen verzichten.

weisst du, ich wäre heilfroh, wenn du wieder zu HT zurückkehren würdest.
keine nutzer sind mir nämlich lieber als undankbare nutzer.

!!!! <-- siehst du, kann ich auch

renee+2007-10-10 07:39:24--

Bei "no_includes" wäre es aber schön, wenn man es für einzelne, z.B. "included", Templates ein- und ausschaltbar wäre... So dass ich ein Haupttemplate hätte, was vielleicht noch includes machen darf; ein Template, das vom Haupttemplate "included" wurde aber nicht...

wenn dann würde ich eher sagen, nur includes innerhalb von path und keine absoluten includes.
diese regel von einem level für includes schliesst ja auch nicht aus, dass /etc/passwd included wird.

Vielleicht möchte man ja mal /etc/passwd includen... Als Programmierer könnte man bei meinem Vorschlag für Templates, die von außen kommen die includes abschalten, aber für eigene Templates die includes anschalten...




Der Programmier bestimmt ja in der Regel so etwas wie das "Menue.html". Da wäre es schlecht wenn das nicht erlaubt ist. Body.tmpl könnte z.B. von einem User kommen. *Nur* dort (und darunter) sollen keine includes erlaubt sein.

renee+2007-10-10 10:38:41--

Vielleicht möchte man ja mal /etc/passwd includen...

häh? natürlich sollte es *generell* gehn, absolute templates zu includen, ich meinte nur,
auf *anfrage*, also mit einer option sollte man absolute includes abschalten können.

renee+2007-10-10 10:38:41--

Code: (dl )

1
2
3
4
5

+ MainTemplate.tmpl
      + Include Menue.html (sollte erlaubt sein)
      + Include Body.tmpl
                   + Include anyTemplate.tmpl (sollte nicht erlaubt sein)
                   + Include ... (sollte nicht erlaubt sein)

Der Programmier bestimmt ja in der Regel so etwas wie das "Menue.html". Da wäre es schlecht wenn das nicht erlaubt ist. Body.tmpl könnte z.B. von einem User kommen. *Nur* dort (und darunter) sollen keine includes erlaubt sein.

diese struktur ist willkürlich und kann je nach anwendungsfall total anders aussehen.
von daher halte ich es nicht sinnvoll, so eine regel festzulegen.

Ja, nicht festzulegen, aber vielleicht konfigurierbar machen...

$tmpl->include_levels(1); # erlaubt nur max. 1 Ebene an Includes

renee+2007-10-10 11:28:32--

Ja, nicht festzulegen, aber vielleicht konfigurierbar machen...

$tmpl->include_levels(1); # erlaubt nur max. 1 Ebene an Includes

was ändert das an der tatsache, dass man damit immer noch /etc/passwd includen kann?

In der ersten Ebene nichts. Aber wenn ich als Programmierer /etc/passwd includen will, dann sollte mir das gestattet sein. Wenn dann aber ein User herkommt und in sein "sekundäres" Template (in dem Beispiel oben "body.tmpl") ein include macht, dann sollte es nicht funktionieren (wenn ich es mit include_levels entsprechend bestimmt habe), da ich da keine Kontrolle über die Templates habe!

Ich möchte mir von HTC ja nicht vorschreiben lassen, ob ich Dateien mit absolutem Pfad oder nicht laden kann...