tu sais si ton moteur de template et là pour valider l'abscence de code php, il peut aussi prendre en charge le nettoyage d'autre source de code malvaillant 
edit
sephi
j'aime pas avoir des $this à tord et à travers dans mes template, c'est pour ça que ce que je tends à préfèrer comme soluce c'est de restreindre l'environnement du template, avec un petit près traitement extract() avec le flag EXTR_IF_EXISTS ça force à avoir une déf de la variable avec une valeur par défaut, et permet de filtrer ce qu'on veut pas passer.
edit
sephij'aime pas avoir des $this à tord et à travers dans mes template, c'est pour ça que ce que je tends à préfèrer comme soluce c'est de restreindre l'environnement du template, avec un petit près traitement extract() avec le flag EXTR_IF_EXISTS ça force à avoir une déf de la variable avec une valeur par défaut, et permet de filtrer ce qu'on veut pas passer.