Drupal专业开发指南 第21章 编码标准
Drupal社区认为,它的基本代码必须拥有一个标准的外观,从而提高可读性,也使得初学者更容易学习。社区也鼓励第3方模块的开发者采用这些标准。实际上,让我老实的告诉你:如果你没有遵守编码标准,那么你的模块在Drupal社区就不会得到认真对待。我们首先学习一下具体的标准,接着介绍了一些用来检查代码的自动工具(甚至为你纠正代码!)
Drupal专业开发指南 第21章 开发最佳实践
在本章中,我们给出了许多的代码小提示和最佳实践,它能帮你成长为一个合格的Drupal开发者,并帮你摆脱电脑的折磨。我们首先学习Drupal的编码标准,接着学习如何为模块创建文档以方便其它开发者理解代码。还介绍了如何在Drupal的核心中快速的查找东西,介绍了版本控制,并详细的说明了如何维护一个第3方模块,最后我们讨论了如何调试和剖析代码。
Drupal版本:
中文新書 - Drupal 6水滴架站全機能攻略 (转贴)
我转贴一下阿,虽然不知道Thomas是不是这里的Thomas FAN,看到阿舍写了序,我也帮助友情推荐一下。看来Drupal在中文圈内的发展,越来越迅速了。我前天查看Drupal的google趋势,发现Drupal在中国的发展呈跳跃式的发展。而在地球上,也是直线上升的趋势。Xoops,plone,JOOMLA这些都下降或者趋缓了,只有Drupal,wordpress直线上升。而Drupal在中国的发展,也越来越快,希望有更多的企业采用Drupal技术,那时我就可以找个好工作了。
Drupal应该是唯一可以与Discuz向抗衡的同类软件了,看看Discuz和UCENTER 的高昂的商业许可费,以及高昂的付费支持,就知道垄断不是一件好事情。有竞争,就会有发展,把Drupal引进来,是件好事情,个人,企业就有了更多的选择。而把Drupal引进来,是需要很多人的努力,Thomas 的书,就是Drupal中文化的一种努力。所以,帮他推荐一下。不知道这个Thomas 是不是和Thomas FAN是一个人,如果是一个人,也一同感谢Thomas FAN这些天对开发指南的许多地方的指正了。下面是阿舍兄的原文:
“
Drupal专业开发指南 第20章 总结
读完本章后,你应该知道:
Drupal版本:
Drupal专业开发指南 第20章 使用eval()
千万不要使用它。使用PHP函数eval(),你可能觉得它是进行元编程的极好的方式,或者想用它来减少多行代码,这个函数将一个字符串文本作为输入,并使用PHP解释器对其求值。这完全是一个错误。如果有任何方式允许一个用户使用eval()来操作输入的话,那么你就会将PHP解释器的威力暴露给用户。这距离泄露私密数据的时间也不会太长了,因为用户就可能使用这一方式来获取你的数据库中的用户名和密码。
Drupal版本:
Drupal专业开发指南 第20章 保护超级用户帐号
获取一个Drupal网站密码的最简单的方式是,打个电话给这个网站的秘书,这样说“你好,我是Joe。<一对客套话>。我是给你们的网站提供技术支持的,在技术支持中,我们遇到了问题。需要使用用户名和密码进行登录,你的用户名和密码是多少?”不幸的是,很多人会轻易的将这一私密信息告诉他人。尽管技术对此有所帮助,但是对于这种攻击,最好的办法还是对用户进行教育。
正因为此,最好不要将超级用户(用户1)授予任何人。对于任何维护网站的用户,只能授予他完成任务所需要的权限。这样,即使出现了安全问题,危害也是可以控制的。
老葛的Drupal培训班 Think in Drupal
Drupal版本:
Drupal专业开发指南 第20章 表单API的安全性
使用表单API的一个好处就是,它为你处理了许多安全性问题。例如,Drupal通过检查来保证,用户从下拉选择框中选择的值,确实是Drupal生成的选项中的一个。表单API使用了一系列的事件集,比如表单构建、验证、和执行。在验证阶段前面,你不能够使用用户输入,因为用户输入还没有被验证。例如,如果你使用的值来自$_POST,那么你就不能确保用户是否操作了该值。还有就是,使用#value元素在表单中传递信息,尽可能的使用它来代替隐藏域,因为恶意用户可以操作隐藏域,但是访问不了#value元素。
Drupal版本:
Drupal专业开发指南 第20章 Ajax安全性
当你需要使用Ajax比如jQuery时,你一般在开发Ajax的服务器端代码时,都会假定对这些代码的调用是通过JavaScript完成的,而与Ajax相关的安全性的一个要点是,恶意用户可以直接调用Ajax的服务器端代码(例如,可以使用命令行工具比如curl或者wget,或者直接在浏览器中输入该URL)。你需要从这两个方面来对你的代码进行测试。
老葛的Drupal培训班 Think in Drupal
Drupal版本:
页面
