Php smarty对我的服务器有危险吗？_Php_Security_Smarty

Php smarty对我的服务器有危险吗？

php security

Php smarty对我的服务器有危险吗？,php,security,smarty,Php,Security,Smarty,我使用smarty作为我的免费博客服务模板，用户可以编辑模板。这对我的服务器有危险吗？他们可以运行shell或其他。。。通过smarty代码？一切都取决于您允许用户使用什么以及您拥有什么代码。例如，如果您有一些插件，用户可以在其代码中使用它们，如果插件显示一些不应该向所有用户显示的数据，这也可能是一个巨大的问题用户还可以将JavaScript放入模板文件中，因此还应该考虑从生成的输出中删除JavaScript。您还应该将Smarty更新为最新版本3.1.18，因为有些bug已被删除，其中

我使用smarty作为我的免费博客服务模板，用户可以编辑模板。这对我的服务器有危险吗？

他们可以运行shell或其他。。。通过smarty代码？

一切都取决于您允许用户使用什么以及您拥有什么代码。例如，如果您有一些插件，用户可以在其代码中使用它们，如果插件显示一些不应该向所有用户显示的数据，这也可能是一个巨大的问题

用户还可以将JavaScript放入模板文件中，因此还应该考虑从生成的输出中删除JavaScript。

您还应该将Smarty更新为最新版本3.1.18，因为有些bug已被删除，其中一些可能与安全性有关。在3.1 Smarty中，如果不在代码中使用SmartyBC，则不能使用

{PHP}

代码使用PHP代码，但当然最好删除{PHP}，以防万一

可以使用Smarty运行任意PHP代码。所以，请仔细考虑一下你给谁权力，请给我一个例子

{php}phpinfo（）；{/php}

我阻止了{php}，还有其他方法吗？过去有过绕过。那么你用的是哪个版本？