Wolfgang Sommergut

Viele Content-Management-Systeme (CMS), die in PHP geschrieben sind, verwenden für Ihre Templates HTML-Seiten, in die Aufrufe ihrer PHP-API-Funktionen eingebettet werden. Dazu zählen etwa Drupal oder WordPress. Aus der Sicht der Entwickler mag das konsequent erscheinen, weil sie es damit durchgängig mit nur einer Sprache zu tun haben und sich ein solches Template ohne großen Verarbeitungaufwand in den PHP-Interpreter füttern lässt. In der Praxis sind es aber nicht primär Programmierer, die Themes entwickeln, sondern Web-Designer.

Diese Zielgruppe ist im Allgemeinen nicht besonders geübt in der Verwendung von Programmiersprachen wie PHP und schreibt daher häufig schlechten Code. Eine Folge können Sicherheitsprobleme sein, wie ich selbst feststellen musste. Der WP Scanner von Blogsecurity entdeckte einen Mangel, der es erlaubte, beliebigen Javascript-Code als Parameter an WP zu übergeben:

Systeme, die Designern eine Abstraktionsschicht über der Programmiersprache bieten, beugen solchen Fehlern vor. Bei einer Reihe von CMS haben sich Tag-Bibliotheken bewährt. Beispiele dafür sind etwa Movable Type, Textpattern oder Innovationgate. Dort greift man auf Systemfunktionen mittels Markup zu, eine Technik, die Web-Designer gewöhnt sind.