在我的webapp中,我允许我的企业客户完全自定义其中一个版本。但这些网页仍然是我的网络应用程序的一部分,并托管在我的服务器上。
我的客户应该能够使用CSS,HTML和Javascript完全设计他们的网页。我还想让他们访问特定的动态变量。我有3种不同的选项可以让他们访问这些变量:
我实际上认为第三种选择是最好的,因为PHP已经很好地作为一种运动引擎。但是,如果我只是让他们上传任何php fil,我的客户也可以调用函数并解雇数据库查询,因为他们的代码有权限限制。
无论如何使用php文件,但只是让这个php文件访问一定数量的预定义变量?特别是没有权限进行数据库查询,读取全局变量,将内容保存到服务器或任何其他可能导致安全问题的操作。
答案 0 :(得分:1)
模板引擎是最佳选择。保护PHP将是非常困难的,如果不是不可能的话。 我不知道你的情况,或者你的客户,但根据我的经验,他们滥用这样的机会远远超过他们使用它。更确切的说,如果他们没有数据库访问权限,那将是获得PHP的唯一真正原因。