Tak się złożyło, że pracuję ostatnio gdzieś z Joomlą w tle. Słyszałem wcześniej coś o tym, że jest niebezpieczna, ale nie wnikałem w szczegóły. Tym bardziej powalił mnie opis ACL wprowadzonego w nowej wersji.
Okazuje się, że prawa dostępu do danego rozszerzenia bądź treści nie są nawet wstępnie sprawdzane przez framework - za to w każdym komponencie programista musi dorzucić ifa sprawdzającego czy użytkownik ma prawa do dostępu. Wiadomo jak to będzie wyglądało w połączeniu z programistami PHP - mało który będzie wiedział że coś takiego w ogóle należy zrobić. Podobnie z komponentami ze starej wersji.
Więc dobra rada - trzymajcie się z dala od Joomli, bo wiedza projektantów o bezpieczeństwie kończy się u nich na mysql_escape_string.