Последние ответы: sap

Цитата: "phpdude" от 10 Сентябрь, 2009, 07:32:46 я вот непомнимаю - хули тебе нормальные шаблонизаторы не нравятся?))Покажи мне нормальный нативный шаблонизатор. Чем не нравятся остальные — написано во вступлении (второй абзац).Цитата: "AndryG" от 10 Сентябрь, 2009, 08:06:43 ЦитироватьВо-вторых, в шаблонизаторе не должно быть доступа к переменным, которые в него не переданы, и к функциям, которые в нем не определены. Я бы не был столь категоричным. Я бы в шаблонизаторе поставил "защиту от дурака". "Если ты добираешься до непереданных тебе значений - делай это сознательно". Шаблонизатор содержит логику ... пусть она "всего-лишь логика отображения", но и ей могут понадобится различные данные .. не обязательно для отображения ... пусть только для анализа.Если могут понадобиться какие-то значения, разработчик должен знать о том, что они понадобятся, уже в контроллере.ЦитироватьНе проникся фильтрацией тегов. bb-code привычней. Не перевариваю бб-коды. Какое-то не рыба, не мясо. Недоделанное что-то, и, самое интересное, не понятно, зачем оно надо.ЦитироватьЯ бы указал типы результатов ... зачем зря читателя напрягать (а ещё лучше пример возвр. значений)Не понял к чему это.ЦитироватьПочему в контроллере решаем, что будет подключать шаблонизатор ?И в итоге почти все контроллеры почти всегда стартуют из index.tpl.phpСмешиваем логики C и V. Или нет?Нет. В контроллере решаем, что подключать. В index.tpl.php только подключаем. Где там контроллеры?ЦитироватьПотенциальная дыра.Отстегиваем страховку и надеемся только на самого себя - экстремал.Отключать XSS-защиту приходится, ибо в значении, наверно, теги встречаются?По-умолчанию она включена. Отключить ее можно, например, чтобы вывести текст, добавленный админом, в котором злобных xss быть не должно.ЦитироватьМожет лучше пусть раскрывает массив значений в переменные?будет не $this->articles['content'], а articles['content'] Возможно. Подумаю над этим.ЦитироватьЯ бы поменял параметры местами и Format установил бы тоже значение по умолчанию, а для $timestamp: "не указан или null -> текущее время"И какой же формат поставить по-умолчанию?ЦитироватьРасширил бы до возможности принимать ассоц. массивы [name] => value.Если я правильно понял, чтобы каждый элемент массива становился отдельной переменной? А как быть, если нужно передать именно массив?))ЦитироватьОсновная идея шаблонизатора: впихнуть нужные значения в существующий шаблон. Получается, что мы не ждем HTML-кода в значениях и всячески от него там избавляемся (XSS). Тут мы озадачиваеся не просто защитой, а обработкой кода (string tagsParser(string $str);) ...похоже на игру со спичками на автозаправке заправке.В общем ... не проникся я идеей tagsParser и компании. Не уловил, в чем тут игра со спичками.Цитировать"Хелперы" ( # morph / морфологически правильное окончание слова # formatDate / форматировать дату # getRuMonth / русское название месяца) это хорошо. Надоть развивать это направление. Это развивается в процессе нужды) Как появится что-то необходимое в процессе работы, так и добавляю.Цитата: "phpdude" от 10 Сентябрь, 2009, 08:14:23 ахуенный шаблонизатор придумали мы с аретдоо, там и хсс хорошо обрабатывается и прочие вещи куда удобнее и лаконичнее.мне не похуй что написать.у меня вот такИзбыточный псевдоязык? Спасибо, нет. Зачем мне учить твои конструкции, если есть php? Может ты еще все функции переопределишь? Нахуй писать htmlspecialchars, если можно написать hsc()? Нахуй писать echo, если можно написать e? Нахуй писать , если можно написать ?)))Цитировать[. header.tpl] - подключить шапку. ахуенна не правда ли? всяко лучше чем $stemp->setIncludeFile("article.tpl.php"); + его обработка в шаблоне. Просто $this->includeFile('header.tpl') в шаблоне.Цитировать[::$var ] = urlencode. пиздатенько, не правда ли? Хуйня) Непонятно, почему так, поэтому хуй запомнишь, + нечитабельно.Цитата: "CTAPbIu_MABP" от 10 Сентябрь, 2009, 08:21:10 в списке методов нету __set но есть __get настораживаетЧем? По этому поводу я уже объяснял. Я не использую __set чтобы подчеркнуть передачу переменной.ЦитироватьПросто код$article = $blog->getArticle($_GET["article_id"]);$comments = $blog->getCommentsToArticle($article["id"]);у тебя странный стиль разве $_GET["article_id"] != $article["id"] ?удивляетЭто же пример блядь)ЦитироватьПросто кодпросто убило. что незя было сделать {$page->title}дальше не читалНельзя. Это нарушает идеологию шаблонизатора. Он нативный, и никаких излишних синтаксисов в нем не будет.Цитата: "AndryG" от 10 Сентябрь, 2009, 09:12:56 Откуда появляются дыры в сайтах? От "недофильтрования".У шаблонизатора не должно быть функции [:name] или ещё как ... "вернуть_htmlscpecialchars(name)" ... у него, допустима функция дай_НЕфильтрованное_значение($name) ... и второй параметр, желателен ... строковый, который всегда обязателен и должен равняться "Я осознаю, что я прошу и беру ответственность на себя. Я трезв и не хочу спать".Шаблонизатор всегда должен отдавать защищенные данные ... и только по сильному требованию - НЕзащищенные.А варианты [name] и [:name] -- прямой путь к ошибке по недосмотру или запавшей кнопке. Все настраиваемо. По-умолчанию, все переменные обрабатываются перед отдачей. Если админ дурак и отрубит защиту там, где это не нужно — то тут уже ничем не поможешь. {+++42+++} Блядь, тут еще и вторая страница!!!