[zweitaccount]

Öhm, wenn ich hier auf einem Server eine *.html-Seite per
php includiere, kann man in der html-Seite auch php mit rein-
packen und das wird anstandslos geparst.... ist das normal...
oder knallt das womöglich wenns auf einem anderen Server läuft?

[Pixelpole]

sollte kein Problem darstellen.

[zweitaccount]

wunderbar

[Pixelpole]

genau diese eigenschaft kann übrigens auch für angriffe ausgenutzt werden, also immer schön prüfen was inkludiert wird

[danielkussin]

Immer schön ein php-Suffix hinter deine html-Extension schreiben und die Sicherheit ist da.

Beispiel: [Dateiname].html.php

Allerdings solltest du für eine bessere Übersichtlichkeit deine zu inkludierenden Inhalte immer mit [Dateiname].inc.php benennen, damit sind sie sicher und übersichtlich.

Gruß Daniel

[Pixelpole]

wenn sich in den dateien ausschließlich html befindet und die datei von aussen nicht verändert werden kann (oder zumindest von aussen kein neuer pfad gesetzt werden kann ist die sicherheit auch gegeben).

Und selbst wenn der pfad von aussen verändert werden kann so kann man das z.B. über eine Whitelist absichern.

[timg]

dann macht es aber auch keinen sinn include zu nutzen.

include sollte nur dafür genutzt werden Klassen oder Namensräume nachzuladen.
wenn du eine Datei auslesen möchtest nutze einfach die dafür vorgesehende Funktion: htt://www.php.net/file_get_contents, alternativ bieten dir die http://www.php.net/file funktionen weitere Möglichkeiten.

Mal ganz nebenbei, HTML und PHP mischt man nicht, wenn man es genau nimmt hat php nichts mit dem Web ansich zutun, PHP ist eine (Skript)Sprache welche auf C aufsetzt.

schau dir mal http://www.smarty.net an.

[bacon]

Templateengines werden für in HTML eingebettete Scriptsprachen wie PHP überhaupt nicht gebraucht. Das ist der übelste Crap, den man sich jemals - in Zeiten von php3 und 4 als Innovation gefeiert - ausgedacht hat.

Gut, in manchen Fällen macht so ein Zeug durchaus Sinn - vor allem, wenn eine "native" View-Komponente nicht zur Verfügung steht - Beispiel Perl oder sonstwas CGI, auch in der Java-Welt ist das populär, wobei hier lieber auf eine Art xml-Syntax (jsf) zurückgegriffen wird, um die Unzulänglichkeiten von Jsp auszugleichen - mit mäßigem Erfolg.

Aber Smarty ist alleine schon von der Syntax her ein Graus - und noch dazu gibt es kaum Editoren, die Smarty nativ unterstützen. Das Ding ist einfach Alt - damals sicher geil weil jeder ne Templateengine haben wolle (ich auch^^) - heute gilt: Finger weg!

Dass man HTML und PHP nicht mischen soll, ist falsch. Natürlich sollte man seine Schichten im Blick halten - eine sinnvolle Anwendungsarchitektur ist wie in jeder anderen Programmiersprache Pflicht. Doch ist es nicht sinnvoll, deshalb die Stärken von PHP einfach zu ignorieren und auf eine syntaktisch noch(!) bekacktere Templatesprache für seine Sichten zurückzugreifen. PHP funktioniert in Templates sehr gut (Stichwort "alternative Schreibweise für Kontrollstrukturen" in der php-Doku)