Article complet: Traquez les variables de vues ZF non echappées avec bytekit

Sebastien Bergmann a eu la bonne idée d'ajouter une règle "ZendView" à son outil bytekit-cli (que j'ai déja présenté ici)

Cette règle trace tous les appels à "echo $this->{xxx}" dans votre vue Zend_View et vous indique qu'il n'est pas bien d'afficher directement une variable de vue sans l'échapper auparavant.
Bon, de là à monter un système qui echappe automatiquement les variables de vues ( à la Symfony) il n'y a qu'un pas, Zend_View étant pour rappel premièrement facultatif (vous voulez utiliser un autre système de vues/templates ? faites donc) deuxièmement très flexible (Zend_View_Abstract / Zend_View_Interface).

Petit exemple de script de vue (edit.phtml) :

<h1>Edition du membre <?php echo $this->form->getElement('nom')->getValue() ?></h1> 
<?php 
echo $this->form; 
?>

Et le bytekit :

julien@julien:views/scripts/membres$ bytekit --rule=ZendView edit.phtml  
bytekit-cli 1.1.1 by Sebastian Bergmann. 
 
  - Attribute $this->form is not safe-guarded by Zend_View::escape() 
  in /media/www/pe/application/modules/default/views/scripts/membres/edit.phtml:4

Sympa, à mettre dans la trousse à outils avec les autres (PHPUnit, PHP_CodeSniffer, PHPCPD, PHPMD etc...)