[PHP-users 31481] Re: value属性への変数展開

[goungoun]

こんにちは。

On Sat, 17 Feb 2007 20:29:31 +0900
Ryo Suyama <ryo ＠ spais.jp> wrote:
> > # あるときは、エスケープ済み、あるときは未 とかになると
> > # エスケープ忘れたり、２重エスケープしてしまいそうです。
> 
> 僕の場合はリクエストパラメータをたらいまわしにはせずに、検証用クラスで検
> 証を行ったうえでさらにエスケープ処理も施します。
> 
> $_POST = array('tag' => '<a href="http://yahoo.co.jp">Yahoo!</a>')
> $Smarty = new Smarty();
> だとして
> 
> $post = new valid($_POST);
> if($post->is_exists('tag') && $post->valid_html('tag')){
> 	$Smarty->assign('text',$post->escape_html('tag'));
> }
> 
> というような実装にしています。
> #boolean valid::is_exists() メソッドは要素の有無を確認
> #boolean valid::valid_html() メソッドは要素の値が HTML のタグとして正しいかを検証
> #string valid::escape_html() メソッドは要素の値を htmlspecialchars して返す

なるほど。
どのメソッドを使っているか？で、生なのか、エスケープしてるのか
すぐわかるということですね。

> 
> Smarty に限らずテンプレートエンジンで値を書き換えてしまうと、スクリプト
> とテンプレートの両方で確認をしなければならず、それは僕にとってはとても面
> 倒です。
> また「この時のこの値はエスケープしたっけなー？」という確認も面倒くさいの
> で基本的に上記のように valid::escape_html() メソッドの返り値がエスケープ
> 処理された値で、生データは基本的にそのまま残しています。

んー
私的には「テンプレートエンジンで値を書き換えてしまう」という
認識よりも「テンプレートエンジンに任せる」という感じでいるので、
面倒なこととは感じないのですが、そこは人それぞれかもですね。


ちなみにFlexyの場合だと、

こんな感じです。
（適当に書いたので、コピペでは実行できないような気がしますが）

----------------------------------------------------------
$flexy = & new HTML_Template_Flexy();
$flexy->compile('template.html');
$obj = new StdClass;
$obj->item1 = '<a href="http://yahoo.co.jp">Yahoo!</a>';
$obj->item2 = 'あいてむ２';

$flexy->outputObject($obj);
----------------------------------------------------------

template.html
----------------------------------------------------------
<html>
<body>
<p>エスケープあり：{item1}</p>
<p>エスケープなし：{item1:h}</p>

データの有無で表示変えるなら
<p flexy:if="item2">{item2}</p>

</body>
</html>
----------------------------------------------------------

$objレベルでは、全部生でデータ持ってて、
Flexy側にエスケープを＊任せる＊という感じでいます。



-- 
goungoun <gounx2 ＠ gmail.com>
http://goungoun.dip.jp/app/