drupal6

如果一个启用的模块允许文件上传，那么文件就应该放到一个特定的目录下，并通过代码来强制访问。

在处理文件和文件路径时，Drupal面对的危险和其它web应用是一样的。

老葛的Drupal培训班 Think in Drupal

当你编写自己的模块时，需要注意的另一个方面是“access arguments”键，你会在菜单钩子定义中的每个菜单项中用到它。在前面我们用来说明不安全代码的例子中，我们使用了下面的access参数：

如果在你的SQL中，有多个只有在运行时才能确定的变量，这并不妨碍让你使用占位符。你将需要使用占位符比如'%s' 或者 %d，通过编程来创建你的SQL，接着你需要传递一组值来填充这些占位符。如果你自己直接调用db_escape_string()，那么你就做错了。下面的例子展示了占位符的使用，这里假定我们想取出，匹配特定节点类型的已发布节点的ID和标题：

老葛的Drupal培训班 Think in Drupal

攻击网站的一个常见方式称为SQL注入。让我们看一个没有考虑安全性的程序员编写的模块。他仅仅想用一种简单的方式，来列出特定类型节点的所有标题：

模块常常处理用户提交的URLs并显示它们。我们需要一些机制来确保用户提供的值确实是一个合法的URL。Drupal提供了函数check_url()，它实际上是仅仅对filter_xss_bad_protocol()做了封装。它通过检查来确保URL中的协议是该Drupal站点所允许的协议（参看“使用filter_xss()阻止跨站点脚本攻击”部分的第5步），并使用check_plain()来处理URL。