Автоматическая вставка кода плагина в шаблоны.
| Trustmaster |
|
|---|---|
|
Описанная конфигурация хостинга не является оптимальной. С точки зрения безопасности гораздо лучше следующая комбинация: владельцем файлов является владелец учетной записи для данного хоста (например, user), имеющий доступ по sftp/git, а вебсервер/php выполняется от имени другой учётной записи, входящей в ту же группу (например, user-www, входящий в группу user), тогда права на большинство файлов (в частности, php и tpl) следует установить 644 или даже 640, а для директорий типа datas/cache 775 или 770. Конечно, неплохо, если при этом ещё и настроены umask, чтобы не было проблем у user при доступе к файлам в datas, владельцем которых является user-www. И ещё отключить выполнение скриптов в datas. Зачем такие сложности? Если будет выполнен произвольный код от имени юзера php (например, user-www), то он не сможет затронуть основные файлы системы, а сможет повредить только пользовательские файлы (поэтому бекапы никто не отменял). Если короче и без лирических отступлений: все хостинги разные, очень разные. Где-то редактор шаблонов заработает сразу, где-то придётся поменять права на все tpl-файлы (причём на многих хостингах). В любом случае, а особенно когда юзер php относится к категории others, это повышает риск взлома. Я не говорю, что такой редактор будет однозначным злом. Но его следует использовать разумно и не использовать вовсе, если конфигурация хостинга подвержена повышенному риску. Определить последнее обывателю не так-то просто.
Added 1 minutes later: P.S.: не забывайте, что с появлением callback-функций в шаблонах теперь можно практически любые PHP-функции вызывать. May the Source be with you!
|
