Нативный php.Что за этим стоит?

если $name приходит от пользователя там могут быть символы типа ../../test.php и символ нулевого байта то есть по сути сработает конструкция типа include '../../test.php'; а не include '../../test.php.phtml'; как ты того будешь ожидать
поэтому или список или регулярное выражение

7. lolpetyaz, а речь не шла о пользовательских переменных, данных.

Правильно говорят все для таких вещей используют шаблонизатор,

Зачем писать Слова или HTML тэги в классах или в функциях если это можно сделать в одной отделом файле

Добавлено через 01:15 сек.
Я к примеру всегда пользовался Twig очень понятный и отличный Шаблонизатор

14. Shamsik, причем тут tpl шаблонизатор к нативноому php?Я тоже пользовался smarty и писал класс свого небольшого шаблонизатора для tpl,яя немогу понять как мне работать с нативным php и еще если с ним разобраться то никакие шаблонизаторы не дадут тебе такую скорость работы!Только вот надо понять все доконца)

Добавлено через 01:11 сек.
13. Башка, ну а что ты скажешь насчет этого?пользовательских переменных?

15. lolpetyaz, просто фильтруй переменные которые поступают от пользователя (желательно учитывая тип) и проблем не будет.
Ну и как-то проверяй, что инклудиться будет именно нужный файл. (у меня например кэшируется список шаблонов, если подключаемого шаблона нет в списке, то он не подключится)

anonymouse (31 Июля 2015 / 21:46)
15. lolpetyaz, просто фильтруй переменные которые поступают от пользователя (желательно учитывая тип) и проблем не будет.
Ну и как-то проверяй, что инклудиться будет именно нужный файл. (у меня например кэшируется список шаблонов, если подключаемого шаблона нет в списке, то он не подключится)

Тоесть так будет все гуд?

<?php 

function new_view($name,$data = null) {
	if(file_exists($_SERVER['DOCUMENT_ROOT'].'/Views/'.$name.'.phtml')) {
		require($_SERVER['DOCUMENT_ROOT'].'/Views/'.$name.'.phtml');
	}else{
		throw new Exception('blalalal');
	}
}

$data['title'] = 'title';

$counter = $db->query('SELECT * FROM `users`')->fetch();
$data['user_id'] = $counter['id'];

new_view('test');

И вот файл test.phtml

<html>
	<head>
		<title><?=$data['title']?></title>
	</head>
<body>
   <big><?=$data['user_id']?></big>
</body>
</html>

Обьясни тогда,что под словом "Фильрируй "ты имел ввиду?а еще лучше покажи на этом примере)

Ну смотри, условно имеется список темплейтов (или модулей, библиотек, чего угодно)

<?php
$tpls=array('head', 'foot', 'menu');
?>

В функции мы проверяем имеется ли подключаемый модуль в списке (тут я использую global, но вообще список должен получаться в самой функции, читаться из файлика или xcache например)

<?php
function new_view($name,$data = null) {
    global $tpls; // тут должно быть получение кэшированного списка
    if(in_array($name, $tpls)) { 
        require($_SERVER['DOCUMENT_ROOT'].'/Views/'.$name.'.phtml'); 
    }else{ 
        throw new Exception('blalalal'); 
    } 
}
?> 

14. lolpetyaz, ну пользовательские переменные надо фильтровать. Чти Вантуза, он писал уже о проблемах, которые могут возникать. Я мало представляю себе шаблонизатор, который на прямую берет адрес и использует его для загрузки шаблона. Обычно это делается через роутер, а роутер уже использует всякие регулярки и т.п.