私の webapp では、企業顧客が自分の web ページの 1 つを完全にカスタマイズできるようにしています。しかし、これらの Web ページは依然として Web アプリケーションの一部であり、サーバーでホストされています。
私の顧客は、CSS、HTML、Javascript を使用して Web ページを完全にデザインできるはずです。また、特定の動的変数へのアクセスも許可したいと考えています。これらの変数にアクセスできるようにするための 3 つのオプションがあります。
- str_replace を使用して、Web ページ内の特定の変数名を対応する動的な値に置き換えるだけです
- smarty のようなある種のテンプレート エンジンを使用して、Web ページ内で使用できます。
- 特定のphp変数を使用できるように、PHP自体を使用する
PHP は既にテンプレート エンジンとして十分に機能しているため、実際には 3 番目のオプションが最適だと思います。しかし、あらゆる種類の php ファイルをアップロードできるようにすれば、顧客は関数を呼び出してデータベース クエリを実行することもできます。これは、顧客のコードにアクセス許可の制限があるためです。
とにかくphpファイルを使用することはできますが、このphpファイルに一定量の事前定義された変数へのアクセスを許可するだけですか? 特に、データベースクエリ、グローバル変数の読み取り、サーバーへのコンテンツの保存、またはセキュリティ上の問題を引き起こす可能性のあるその他のアクションを実行する権限がありません。