android пишет:
Если все разрешенные функции проверять на правильность то нет В этом случае риск минимален
мы видимо не совсем друг друга понимаем. Если шаблоны от сторонних разработчиков не проверять то они могут делать что угодно, и функции тут не причём. они могут вывести а страницу не то что нужно или же наоборот просто угробить весь шаблон. А как насчёт xss? Плохому человеку не нужен доступ к php, он просто наишет в шаблоне js и будет воровать куки.
android пишет:
да и если человек накосячит отображаться это будет только на его сайте
То есть если с php кодом накосячить то сломается весь интернет?