Think in Drupal

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。黑客通过把SQL命令插入到Web表单提交的查询字符串，最终达到欺骗服务器并执行恶意的SQL命令。
/**

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
有时候我们需要处理用户提交的URL。我们首先需要检查用户提供的值是个有效的URL。此时我们可以使用函数check_url()，这个函数首先过滤掉恶意的协议,接着使用check_plain()来处理URL,代码如下:

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
函数filter_xss()的签名如下所示：
filter_xss($string, $allowed_tags = array('a', 'em', 'strong', 'cite', 'code',
'ul', 'ol', 'li', 'dl', 'dt', 'dd'))

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
check_plain做两件事情，一个是把HTML标签转义，二是检查字符串是不是UTF-8的。这两点都能帮我们防止XSS攻击。

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
跨站点脚本（XSS）指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息。攻击者通常会用十六进制（或其他编码方式）将链接编码，以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子，那么用户乙在浏览这篇帖子时，恶意脚本就会执行，盗取用户乙的session信息。

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
曾经有位学员打电话问我，说他的Drupal站点挂机了，他说他的站点可能受到了黑客攻击。问我能不能帮他查查，我告诉他，Drupal很稳定，通常不会出现这种情况。后来，原因出来了，原来是他网站所在服务器上面的另一套程序被人攻击了，导致了他的站点也受到了牵连。是的，这不是Drupal的错。我维护过很多Drupal站点，基本上没有见过被黑掉的Drupal站点。我前段时间，帮助我的一位大学老师维护他的个人站点，ASP的，小团队写的，里面挂满了木马，我不得不逐个文件夹进行核查。

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
有两种主要的方式，可用来检查你的编码风格是否符合Drupal的编码标准：一种方式是使用一个Perl脚本，在Drupal根目录下的scripts文件夹下面，有个名为code-style.pl的脚本，它可用来检查你的Drupal代码；另一种方式是使用一个第3方模块coder。

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
函数文档应该使用下面的语法：

/**
* Extract the type name.