Think in Drupal

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
check_plain做两件事情，一个是把HTML标签转义，二是检查字符串是不是UTF-8的。这两点都能帮我们防止XSS攻击。

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
跨站点脚本（XSS）指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息。攻击者通常会用十六进制（或其他编码方式）将链接编码，以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子，那么用户乙在浏览这篇帖子时，恶意脚本就会执行，盗取用户乙的session信息。

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
曾经有位学员打电话问我，说他的Drupal站点挂机了，他说他的站点可能受到了黑客攻击。问我能不能帮他查查，我告诉他，Drupal很稳定，通常不会出现这种情况。后来，原因出来了，原来是他网站所在服务器上面的另一套程序被人攻击了，导致了他的站点也受到了牵连。是的，这不是Drupal的错。我维护过很多Drupal站点，基本上没有见过被黑掉的Drupal站点。我前段时间，帮助我的一位大学老师维护他的个人站点，ASP的，小团队写的，里面挂满了木马，我不得不逐个文件夹进行核查。

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
有两种主要的方式，可用来检查你的编码风格是否符合Drupal的编码标准：一种方式是使用一个Perl脚本，在Drupal根目录下的scripts文件夹下面，有个名为code-style.pl的脚本，它可用来检查你的Drupal代码；另一种方式是使用一个第3方模块coder。

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
函数文档应该使用下面的语法：

/**
* Extract the type name.

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
当一个函数是一个钩子实现时，此时不需要为钩子编写文档。简单的说明一下实现了哪个钩子就可以了，例如：

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
PHP常量应该大写，可以使用下划线分隔单词。当定义PHP常量时，最好能够解释一下它们是用来做什么的，如下面的代码片段所展示的这样：

作者：老葛，北京亚艾元软件有限责任公司，http://www.yaiyuan.com
我们以node.module文件为例，来学习一下模块文档的编写。我们按照从上到下的顺序，对不同的类型的文档做出对应的解释。
在模块的第3行（在