Drupal专业开发指南 第20章 文件名和路径
不要相信用户提供的文件名或者文件路径!当你编写一个模块时,你的代码期望能够收到somefile.txt,实际上它可能得到了其它文件,比如
Drupal专业开发指南 第20章 文件上传
如果一个启用的模块允许文件上传,那么文件就应该放到一个特定的目录下,并通过代码来强制访问。
Drupal版本:
Drupal专业开发指南 第20章 文件安全
在处理文件和文件路径时,Drupal面对的危险和其它web应用是一样的。
Drupal版本:
Drupal专业开发指南 第20章 跨站点请求伪造(CSRF)
老葛的Drupal培训班 Think in Drupal
Drupal版本:
Drupal专业开发指南 第20章 权限和页面回调
当你编写自己的模块时,需要注意的另一个方面是“access arguments”键,你会在菜单钩子定义中的每个菜单项中用到它。在前面我们用来说明不安全代码的例子中,我们使用了下面的access参数:
Drupal版本:
Drupal专业开发指南 第20章 动态查询语句
如果在你的SQL中,有多个只有在运行时才能确定的变量,这并不妨碍让你使用占位符。你将需要使用占位符比如'%s' 或者 %d,通过编程来创建你的SQL,接着你需要传递一组值来填充这些占位符。如果你自己直接调用db_escape_string(),那么你就做错了。下面的例子展示了占位符的使用,这里假定我们想取出,匹配特定节点类型的已发布节点的ID和标题:
Drupal版本:
Drupal专业开发指南 第20章 使用db_rewrite_sql()来保持私有数据的私有性
老葛的Drupal培训班 Think in Drupal
Drupal版本:
Drupal专业开发指南 第20章 使用db_query()来确保查询语句的安全
攻击网站的一个常见方式称为SQL注入。让我们看一个没有考虑安全性的程序员编写的模块。他仅仅想用一种简单的方式,来列出特定类型节点的所有标题:
Drupal版本:
页面
