Как создать редактируемый шаблон PHP/HTML без риска для безопасности?

Question

Используя класс Kohana View, я хочу, чтобы пользователи-администраторы могли редактировать HTML-шаблоны, и самый простой способ сделать это - позволить им редактировать файл шаблона напрямую, то есть загружать его в текстовое поле и сохранять файл в submit.

Но вредоносный пользователь может потенциально написать PHP-код внутри этого текстового поля и вызвать статические функции, которые могут вызвать вредоносное поведение. Как я могу ограничить PHP только оценивать простые переменные в этом редактируемом шаблоне и запрещать вызовы функций и другие типы логики?

Пример: вид/template.php

Hey $firstname, 

Best regards, 
$admin 

Answer 1

Не разобрать PHP. Прочитайте его в строке с использованием file_get_contents и выполните str_replace со списком известных переменных.

например.

$replace = array(
    '$firstname' => $firstname, 
    '$admin' => $admin 
); 
$template = file_get_contents('view/template.php'); 
$template = str_replace(array_keys($replace), array_values($replace), $template); 

Это, очевидно, становится все более сложным, если вы хотите, чтобы позволить им сделать что-нибудь более продвинутое, чем ваш пример, но это то, что такие вещи, как smarty для.

Answer 2

Другой вариант - использовать некоторые шаблоны для двигателя, такие как mustache.