14.3. Scripts de vue

une fois que le contrôleur a assigné les variables et appelé render(), Zend_View inclus le script de vue requis, et l'exécute "à l'intérieur" de la porté de l'instance Zend_View. Donc dans vos scripts de vue, les références à $this-> pointent en fait sur l'instance Zend_View elle-même.

Les variables assignées à la vue depuis le contrôleur lui sont référrées comme des propriétés de l'instance. Par exemple, si le contrôleur a assigné une variable "quelque-chose", vous vous référerrez à cette variable par $this->quelque-chose dans le script de vue. (Cela vous permet de garder une trace pour savoir quelles valeurs ont été assignées au script, et quelles sont internes au script lui même.)

Pour rappel, voici l'exemple de script issu de l'introduction de ce chapitre sur Zend_View.

<?php if ($this->books): ?>

    <!-- La table des livres -->
    <table>
        <tr>
            <th>Auteur</th>
            <th>Titre</th>
        </tr>

        <?php foreach ($this->books as $key => $val): ?>
        <tr>
            <td><?php echo $this->escape($val['auteur']) ?></td>
            <td><?php echo $this->escape($val['titre']) ?></td>
        </tr>
        <?php endforeach; ?>

    </table>

<?php else: ?>

    <p>Aucun livre à afficher</p>

<?php endif; ?>
    

14.3.1. Echapper la sortie

Une des tâches les plus importantes à effectuer dans un script de vue est de s'assurer que la sortie est correctement échappé; de plus ceci permet d'éviter les attaques de type cross-site scriptin. A moins que vous n'utilisiez une fonction, une méthode , ou une aidre qui gère l'échappement, vous devriez toujours échapper les variable lors de l'affichage.

Zend_View a une méthode appelée escape() qui se charge de l'échappement.

<?php
// mauvaise pratique d'affichage
echo $this->variable;

// bonne pratique d'affichage
echo $this->escape($this->variable);
?>
        

Par défaut, la méthode escape() utilise la fonction PHP htmlspecialchar() pour l'échappement. Cependant, en fonction de votre environnement, you souhaitez peut-être un échappement différent. Utilisez la méthode setEscape() au niveau du contrôleur pour dire à Zend_View quelle méthode de rappel elle doit utiliser.

<?php
// créé une instance Zend_View
$view = new Zend_View();

// spécifie qu'il faut utiliser htmlentities comme rappel d'échappement
$view->setEscape('htmlentities');

// ou spécifie qu'il faut utiliser une méthode statique comme rappel d'échapement
$view->setEscape(array('SomeClass', 'methodName'));

// ou alors une méthode d'instance
$obj = new SomeClass();
$view->setEscape(array($obj, 'methodName'));

// et ensuite effectue le rendu de la vue
echo $view->render(...);
?>
        

La fonction ou méthode de rappel doit prendre la valeur à échapper dans le premier paramètre, et tout les autres paramètres devraient être optionnels.

14.3.2. Systèmes de template

Bien que PHP lui-même un moteur de template puissant, beaucoup de développeurs pensent que c'est beaucoup trop puissant ou complexe pour les graphiste/intégrateur. Le script de vue peut être utilisé en tant que tel pour instantier et manipuler des objets de templates, comme les template PHPLIB. Le script de vue pour ce type d'activité pourrait ressemble à ceci :

<?php
include_once 'template.inc';
$tpl = new Template();

if ($this->books) {
    $tpl->setFile(array(
        "booklist" => "booklist.tpl",
        "eachbook" => "eachbook.tpl",
    ));

    foreach ($this->books as $key => $val) {
        $tpl->set_var('auteur', $this->escape($val['auteur']);
        $tpl->set_var('titre', $this->escape($val['titre']);
        $tpl->parse("livre", "eachbook", true);
    }

    $tpl->pparse("output", "booklist");
} else {
    $tpl->setFile("nobooks", "nobooks.tpl")
    $tpl->pparse("output", "nobooks");
}
?>
        

Et ceci pourrait être les fichiers de templates correspondants :

<!-- booklist.tpl -->
<table>
    <tr>
        <th>Auteur</th>
        <th>Titre</th>
    </tr>
    {books}
</table>

<!-- eachbook.tpl -->
    <tr>
        <td>{auteur}</td>
        <td>{title}</td>
    </tr>

<!-- nobooks.tpl -->
<p>Aucun livre à afficher</p>