L'override aumenta i rischi per la sicurezza?

[ego1983]

Buonasera,
sottopongo una riflessione: effettuare modifiche mediante override può amuentare i rischi per la sicurezza del sito? il dubbio deriva dal fatto che il file default.php che verrebbe spostato sotto la cartella del template e modificato, non verrebbe sottoposto agli aggiornamenti proprio per non perdere le modifiche, tuttavia il rovescio della medaglia è che se ci fosse una vulerabilità su questo file essa permarrebbe sempre.
Secondo voi, dato il modello MCV, è impossibile che un bug possa essere sul file di vista?

Se penso ad esempio a attacchi XSS che solitamente vengono prevenuti mediante la trasformazione in entità html dell'output, in questo caso è ipotizzabile che il bug possa trovarsi sul file della vista (ad esempio default.php) e non essere mai corretto da futuri aggiornamenti?

[tonicopi]

Penso che la tua osservazione abbia un suo fondamento. L'unico modo  per controllare se effettivamente sono state fatte modifiche anche ai file di cui si fa l'override è quello di confrontarli.

[ego1983]

Grazie per la risposta,

Espongo un ragionamento:
un comando di trasformazione in entità html può essere applicato sul livello controller, quindi il dato può essere "pulito" a monte per poi trasferirlo a livello vista.
Se il passaggio della variabile non innesca, come credo,  meccanismi strani, allora dovrebbe essere vero che l'override è innocuo perchè un eventuale bug potrà sempre essere corretto modificando il controller, quindi mediante aggiornamento,

Però su un foglio di vista sul quale vi è una variabile che viene visualizzata senza sanificazione, può accadere che per un errato progetto ci sia la possibilità di passare una variabile alla vista senza farla passare dal controller, penso ad esempio al metodo get e alla possibilità di passare la variabile tramite url