Les moteurs de modèles modernes pour php (say, dwoo ou smarty) peuvent utiliser des objets comme variables. Vous pouvez utiliser {$ obj-> method()}, ce qui est vraiment pratique, et je l'utilise beaucoup. Mais, il existe un problème de sécurité évident avec l'exportation directe d'objets à partir d'ORM, avec des méthodes telles qu'insertion, suppression, etc. Existe-t-il une méthode rationnelle pour n'exposer qu'une partie des méthodes au moteur de gabarit? Je pensais emballage exposer seulement les méthodes de la liste blanche:Comment utiliser les objets dans les modèles de manière sécurisée
$aTplVars = array (new TplWrapper(new User($nUserId), array('getAccount','getStatus')));
Que pensez-vous de penser (il y a les frais généraux de performance clair)? Ou peut-être il y a quelque chose comme ça dans certains moteurs de modèles existants pour PHP?
@ts cela n'a aucun sens. Si un attaquant a l'exécution de code à distance alors vous avez déjà perdu. Son cocher, il n'y a rien que tu puisses faire. Tout le but de la sécurité est d'empêcher cela de se produire en premier lieu. En secuirty vous devez définir qui est la menace. Pour ces raisons, je recommande de supprimer la balise [security] de ce message. – rook