Drupal专业开发指南 第20章 SSL支持
SSL支持
Drupal专业开发指南 第20章 保护cron.php
在Drupal中,有些周期性的调度任务是必须执行的,比如清理日志文件,更新统计等等。对于Unix系统,你可以使用cron任务,对于Windows,你可以使用任务调度器,来运行cron.php文件。可以通过命令行或者通过web服务器来运行该文件。在这个文件的执行中,它简单的做了一个完整的Drupal引导指令,并调用includes/common.inc中的drupal_cron_run()函数。这个函数使用信号量来阻止cron的重负运行(一个cron周期运行多次);尽管如此,特别小心的用户可能还想阻止任何用户访问http://example.com/cron.php。你可以通过在Drupal根目录下的.htaccess文件中添加以下代码,来实现这一点:
Drupal版本:
Drupal专业开发指南 第20章 用于生产环境的文件
并不是Drupal自带的所有文件,都是生产站点所必须的.例如,如果在一个生产站点上,有CHANGELOG.txt文件可用的话,那么互联网上的任何人都可以查看你的Drupal版本了(当然,一些高手黑客可用多种方式来探测你的网站是不是使用的Drupal;参看http://www.lullabot.com/articles/is-site-running-drupal)。表20-3列出了Drupal安装后,为了正常工作所需要的文件和目录;其它的都可以从生产站点上删除(不过要保留一份备份哦!)当然,你也可以采用另外一种方式,那就是限制对这些文件的读权限。
Drupal版本:
Drupal专业开发指南 第20章 对邮件头部进行编码
老葛的Drupal培训班 Think in Drupal
Drupal版本:
Drupal专业开发指南 第20章 文件名和路径
不要相信用户提供的文件名或者文件路径!当你编写一个模块时,你的代码期望能够收到somefile.txt,实际上它可能得到了其它文件,比如
Drupal版本:
Drupal专业开发指南 第20章 文件上传
如果一个启用的模块允许文件上传,那么文件就应该放到一个特定的目录下,并通过代码来强制访问。
Drupal版本:
Drupal专业开发指南 第20章 文件安全
在处理文件和文件路径时,Drupal面对的危险和其它web应用是一样的。
Drupal版本:
Drupal专业开发指南 第20章 跨站点请求伪造(CSRF)
老葛的Drupal培训班 Think in Drupal
Drupal版本:
页面
