Защо да използваме шаблони?
- Защо трябва да използвам система за шаблони в PHP?
- Защо Latte е по-добър от Twig или Blade?
- Какво е екраниране?
- Възможно ли е да се изпълни заявка към базата данни от шаблон в Latte?
- Какви са основните разлики между системите за шаблони като Latte, Twig и Blade?
- Изгодно ли е за фирмите да използват система за шаблони?
- Влияе ли Latte на производителността на уеб приложенията?
Защо трябва да използвам система за шаблони в PHP?
Защо да използваме система за шаблони в PHP, когато самият PHP е език за шаблони?
Нека първо накратко да обобщим историята на този език, която е пълна с интересни обрати. Един от първите езици за програмиране, използвани за генериране на HTML страници, беше езикът C. Скоро обаче се оказа, че използването му за тази цел е непрактично. Затова Расмус Лердорф създаде PHP, което улесни генерирането на динамичен HTML с езика C в бекенда. Така PHP първоначално е проектиран като език за шаблони, но с течение на времето придобива допълнителни функции и се превръща в пълноценен език за програмиране.
Въпреки това той все още функционира и като език за шаблони. В PHP файл
може да бъде записана HTML страница, в която с помощта на <?= $foo ?>
се извеждат променливи и т.н.
Още в началото на историята на PHP възникна системата за шаблони Smarty, чиято цел беше стриктно да отдели външния вид (HTML/CSS) от логиката на приложението. Тоест, тя умишлено предоставяше по-ограничен език от самия PHP, така че разработчикът да не може например да изпълни заявка към базата данни от шаблона и т.н. От друга страна, тя представляваше допълнителна зависимост в проектите, увеличаваше тяхната сложност и програмистите трябваше да учат новия език Smarty. Такава полза беше спорна и за шаблони продължи да се използва обикновен PHP.
С течение на времето системите за шаблони започнаха да стават полезни. Те въведоха концепцията за наследяване, режим sandbox и редица други функции, които значително опростиха създаването на шаблони в сравнение с чистия PHP. На преден план излезе темата за сигурността, съществуването на уязвимости като XSS и необходимостта от екраниране. Системите за шаблони въведоха автоматично екраниране, за да изчезне рискът програмистът да забрави за това и да възникне сериозна дупка в сигурността (след малко ще покажем, че това има известни клопки).
Ползите от системите за шаблони днес значително надвишават разходите, свързани с тяхното внедряване. Затова има смисъл да се използват.
Защо Latte е по-добър от Twig или Blade?
Причините са няколко – някои са приятни, а други са изключително полезни. Latte е комбинация от приятното с полезното.
Първо приятната причина: Latte има същия синтаксис като PHP. Различава се
само записът на таговете, вместо <?= и ?> предпочита
по-кратките { и }. Това означава, че не е нужно да учите нов
език. Разходите за обучение са минимални. И най-важното, по време на
разработката не е нужно постоянно да “превключвате” между езика PHP и
езика на шаблона, тъй като и двата са еднакви. За разлика от шаблоните
на Twig, които използват езика Python, и програмистът трябва да превключва
между два различни езика.
А сега изключително полезната причина: Всички системи за
шаблони, като Twig, Blade или Smarty, в хода на еволюцията си въведоха защита
срещу XSS под формата на автоматично екраниране.
По-точно, автоматично извикване на функцията htmlspecialchars().
Създателите на Latte обаче осъзнаха, че това изобщо не е правилното
решение. Защото на различни места в документа екранирането се извършва
по различни начини. Наивното автоматично екраниране е опасна функция,
защото създава фалшиво усещане за сигурност.
За да бъде автоматичното екраниране функционално и надеждно, то трябва да разпознава къде в документа се извеждат данните (наричаме ги контексти) и според това да избира функцията за екраниране. Тоест, трябва да бъде контекстно-чувствително. И точно това умее Latte. То разбира HTML. Не възприема шаблона само като низ от знаци, а разбира какво са тагове, атрибути и т.н. И затова екранира по различен начин в HTML текст, по различен начин вътре в HTML таг, по различен начин вътре в JavaScript и т.н.
Latte е първата и единствена система за шаблони в PHP, която има контекстно-чувствително екраниране. По този начин тя представлява единствената наистина сигурна система за шаблони.
И още една приятна причина: Благодарение на това, че Latte разбира HTML, той предлага други много приятни функции. Например n:атрибути. Или способността да проверява връзки. И много други.
Какво е екраниране?
Екранирането е процес, който се състои в замяна на знаци със
специално значение със съответните им последователности при вмъкване
на един низ в друг, за да се предотвратят нежелани явления или грешки.
Например, когато вмъкваме низ в HTML текст, в който знакът < има
специално значение, тъй като обозначава началото на таг, го заменяме
със съответната последователност, която е HTML ентитетът <.
Благодарение на това браузърът правилно ще покаже символа <.
Прост пример за екраниране директно при писане на код в PHP е вмъкването на кавичка в низ, като преди нея напишем обратна наклонена черта.
Разглеждаме екранирането по-подробно в главата Как да се защитим от XSS.
Възможно ли е да се изпълни заявка към базата данни от шаблон в Latte?
В шаблоните може да се работи с обекти, които програмистът им предава. Следователно, ако програмистът иска, той може да предаде обект на база данни към шаблона и да изпълни заявка върху него. Ако има такова намерение, няма причина да му се пречи.
Друга ситуация възниква, ако искате да дадете възможност на клиенти или външни кодери да редактират шаблоните. В такъв случай определено не искате те да имат достъп до базата данни. Разбира се, няма да предадете обект на база данни на шаблона, но какво ще стане, ако до нея може да се стигне чрез друг обект? Решението е режим sandbox, който позволява да се дефинира кои методи могат да се извикват в шаблоните. Благодарение на това не е нужно да се притеснявате за нарушаване на сигурността.
Какви са основните разлики между системите за шаблони като Latte, Twig и Blade?
Разликите между системите за шаблони Latte, Twig и Blade се състоят главно в синтаксиса, сигурността и начина на интеграция във фреймуърците
- Latte: използва синтаксиса на езика PHP, което улеснява ученето и използването. Предоставя върхова защита срещу XSS атаки.
- Twig: използва синтаксиса на езика Python, който доста се различава от PHP. Екранира без разграничаване на контекста. Добре е интегриран в Symfony framework.
- Blade: използва смес от PHP и собствен синтаксис. Екранира без разграничаване на контекста. Тясно е интегриран с функциите и екосистемата на Laravel.
Изгодно ли е за фирмите да използват система за шаблони?
Първо, разходите, свързани с обучението, използването и общата полза, се различават значително в зависимост от системата. Системата за шаблони Latte, благодарение на това, че използва синтаксиса на PHP, значително улеснява ученето за програмисти, които вече са запознати с този език. Обикновено отнема няколко часа, докато програмистът се запознае достатъчно с Latte. По този начин намалява разходите за обучение. Същевременно ускорява усвояването на технологията и преди всичко ефективността при ежедневна употреба.
Освен това Latte предоставя високо ниво на защита срещу уязвимостта XSS благодарение на уникалната технология за контекстно-чувствително екраниране. Тази защита е ключова за гарантиране на сигурността на уеб приложенията и минимизиране на риска от атаки, които биха могли да застрашат потребителите или фирмените данни. Защитата на сигурността на уеб приложенията е важна и за поддържането на добрата репутация на фирмата. Проблемите със сигурността могат да доведат до загуба на доверие от страна на клиентите и да навредят на репутацията на фирмата на пазара.
Използването на Latte също така намалява общите разходи за разработка и поддръжка на приложението, като улеснява и двете. Следователно използването на система за шаблони определено си заслужава.
Влияе ли Latte на производителността на уеб приложенията?
Въпреки че шаблоните на Latte се обработват бързо, този аспект всъщност няма значение. Причината е, че парсирането на файловете се извършва само веднъж при първото показване. След това те се компилират в PHP код, съхраняват се на диска и се изпълняват при всяка следваща заявка, без да е необходимо повторно компилиране.
Това е начинът на работа в продукционна среда. По време на разработката шаблоните на Latte се прекомпилират всеки път, когато съдържанието им се промени, така че разработчикът винаги да вижда актуалната версия.
