如何用PHP制作静态网站的模板框架

这个文档描述如何安全显示的有格式的用户输入。我们将讨论没有经过过滤的输出的危险，给出一个安全的显示格式化输出的方法。 没有过滤输出的危险如果你仅仅获得用户的输入然后显示它，你可能会破坏你的输出页面，如一些人能恶意地在他们提交的输入框中嵌入 javascript脚本： This is my comment.

希望你能够喜欢本网站

"; $tpl->assign('CONTENT', $content); $tpl->parse('HEADER', 'header'); $tpl->parse('LEFTNAV', 'leftnav'); $tpl->parse('MAIN', 'main'); $tpl->FastPrint('MAIN'); ?> 　　 显然，这种方法有三个问题：我们必须为每一个页面复制这些复杂的、牵涉到模板的PHP代码，这与重复公共页面元素一样使得页面难以维护；现在文件又混合了HTML和PHP代码；为内容变量赋值将变得非常困难，因为我们必须处理好大量的特殊字符。 　　 解决这个问题的关键就在于分离PHP代码和HTML内容，虽然我们不能从文件中删除所有的HTML内容，但可以移出绝大多数PHP代码。 静态网站的模板框架 　　 首先，我们象前面一样为所有的页面公用元素以及页面整体布局编写模板文件；然后从所有的页面删除公共部分，只留下页面内容；接下来再在每个页面中加上三行PHP代码，如下所示：

你好

欢迎访问

希望你能够喜欢本网站

?> 　　 这种方法基本上解决了前面提到的各种问题。现在文件里只有三行PHP代码，而且没有任何一行代码直接涉及到模板，因此要改动这些代码的可能性极小。此外，由于HTML内容位于PHP标记之外，所以也不存在特殊字符的处理问题。我们可以很容易地将这三行PHP代码加入到所有静态HTML页面中。 　　 require函数引入了一个PHP文件，这个文件包含了所有必需的与模板相关的PHP代码。其中pageStart函数设置模板对象以及页面标题，pageFinish函数解析模板然后生成结果发送给浏览器。 　　 这是如何实现的呢？为什么在调用pageFinish函数之前文件中的HTML不会发送给浏览器？答案就在于PHP 4的一个新功能，这个功能允许把输出到浏览器的内容截获到缓冲区之中。让我们来看看prepend.php的具体代码：

以下为引用的内容：
define( array( 'main' => 'main.htm', 'header' => 'header.htm', 'leftnav'=> 'leftnav.htm' ) ); $tpl->assign('TITLE', $title); ob_start(); } function pageFinish() { GLOBAL $tpl; $content = ob_get_contents(); ob_end_clean(); $tpl->assign('CONTENT', $content); $tpl->parse('HEADER', 'header'); $tpl->parse('LEFTNAV', 'leftnav'); $tpl->parse('MAIN', 'main'); $tpl->FastPrint('MAIN'); } ?>

　　pageStart函数首先创建并设置了一个模板实例，然后启用输出缓存。此后，所有来自页面本身的HTML内容都将进入缓存。pageFinish函数取出缓存中的内容，然后在模板对象中指定这些内容，最后解析模板并输出完成后的页面。 　　 这就是整个模板框架全部的工作过程了。首先编写包含了网站各个页面公共元素的模板，然后从所有页面中删除全部公共的页面布局代码，代之以三行永远无需改动的PHP代码；再把FastTemplate类文件和prepend.php加入到包含路径，这样你就得到了一个页面布局可以集中控制的网站，它有着更好的可靠性和可维护性，而且网站级的大范围修改也变得相当容易。 　　 本文下载包包含了一个可运行的示例网站，它的代码注释要比前面的代码注释更详细一些。FastTemplate类可以在http://www.thewebmasters.net/找到，最新的版本号是1.1.0，那里还有一个用于保证该类在PHP 4中正确运行的小补丁。本文下载代码中的类已经经过该补丁的修正。