Think in Drupal

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
在我们编写模块时，需要注意菜单项中'access callback'和’access arguments’键的使用。在前面SQL注入的例子中，我们是这样的写的：

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
信息泄露破坏了系统的保密性，它指信息被透漏给非授权的用户。这又分为多种情况。以前面sql注入的代码为例。

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
哈希算法有很多，我们以MD5为例。首先MD5算法会对消息进行分组，每组64字节，不足64字节的部分用padding补齐。padding的规则是，在最末一个字节之后补充0x80，其余的部分填充为0x00，padding最后的8字节用来表示需要哈希的消息长度。在对消息进行分组以及padding后，MD5算法开始依次对每组消息进行压缩，经过64轮数学变换。上一次压缩的结果，将作为下一次压缩的输入。

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
一个网站用户B可能正在浏览聊天论坛，而同时另一个用户A也在此论坛中，并且后者刚刚发布了一个具有B银行链接的图片消息。设想一下，A编写了一个在B的银行站点上进行取款的form提交的链接，并将此链接作为图片的src属性。如果B的银行在cookie中保存他的授权信息，并且此cookie没有过期，那么当B的浏览器尝试装载图片时，就会提交这个取款form和他的cookie，这样在没经B同意的情况下便授权了这次事务。

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。黑客通过把SQL命令插入到Web表单提交的查询字符串，最终达到欺骗服务器并执行恶意的SQL命令。
/**

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
有时候我们需要处理用户提交的URL。我们首先需要检查用户提供的值是个有效的URL。此时我们可以使用函数check_url()，这个函数首先过滤掉恶意的协议,接着使用check_plain()来处理URL,代码如下:

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
函数filter_xss()的签名如下所示：
filter_xss($string, $allowed_tags = array('a', 'em', 'strong', 'cite', 'code',
'ul', 'ol', 'li', 'dl', 'dt', 'dd'))

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
check_plain做两件事情，一个是把HTML标签转义，二是检查字符串是不是UTF-8的。这两点都能帮我们防止XSS攻击。