目录

linny 提交于 29 January 2013

原文链接: http://drupal.org/node/117058

对于初学者来说,始终确保上载到“files”目录或其他指定的目录的文件有(上传,查看,下载,删除)的权限。注意,在下面的示例代码中的硬编码目录“files”是用来简化的例子,在现实中这个目录是可配置的。

用户没有阅读或删除重要的系统文件(如 /etc/passwd 或 sites/default/settings.php) 的权限。虽然这些示例集中删除,请记住读取任意文件也是不可取。

<?php /** Example 1 - Insecure * Arbitrary file deletion. * * $file is path/filename (eg files/myfile.txt) provided by the user. */ file_delete($file); ?>

恶意用户可以滥用通过Example 1中提供不同的目录(如 /sites/default/settings.php)的文件名的中授予对其的信任。对执行Drupal(通常web服务器)的这些文件用户帐户的权限攻击显然受限制。

文件上传、下载与管理

linny 提交于 29 January 2013

原文链接: http://drupal.org/node/117054

[本节是一个进展中的工作]

Nutshell的忠告

允许用户在管理您的服务器上的文件是一种有潜在危险的操作。

您需要确保用户不能

  • 查看任意文件。
  • 删除任意文件。
  • 覆盖 '重大' 的文件。
  • 上载和执行任意文件。
  • 完全填充设备 (或磁盘配额)。

请注意,"任意"是指"在服务器上的任何文件"。因此,例如,如果限制到他们,然后在"files"目录中的文件不是任意。但如果用于写入文件的代码允许用户以某种方式影响的文件路径,然后他们可以插入"../../"到的文件名将获得它背出的"files/"目录和到服务器上其他目录。

参见: File Permissions and Ownership For Security

博思-Drupal/Web App/ Android 寻长期合作企业

jziwenchen 提交于 28 January 2013

博思

www.bonesdev.com

是由一个3年工作经验的Drupal开发者组织的兼职团队,主要从事基于Drupal的网站开发, Web App (基于jQuery Mobile/Sencha Touch ), Android App开发。

团队已经和多家企业有过合作,比如华方印务,GlobalDev 等.

我们没有专业的市场开发人员,只是一批业余时间做兼职的人。

现寻长期的企业合作,提供开发外包,技术咨询服务。

 

个人Github: http://github.com/jackey

联系: QQ: 397420507

手机: 15821121753

 

板块
Drupal 职位信息
标签
博思

Drupal 8 发布时间表

WebDux 提交于 28 January 2013

原文来自:http://buytaert.net/updated-drupal-8-release-schedule

备注:本文中的一些信息已经过期,如需了解Drupal8发布相关的最新信息,请访问:http://drupal.org/core/release-cycle

Drupal 8 发布时间表

正如Drupal开发者们在DrupalCon大会上谈到的, 很显然Drupal8现在仍然有许多关于功能冻结(feature freeze,下同)和代码冻结(code freeze,下同)的问题。比如部分功能冻结之后我们该如何实现该功能?什么时候可以开始升级相关模块到Drupal8版本? 什么时候我们可以开始测试Drupal8? 下面我们将回答这些问题以及该文章中提到的其他问题。

板块
Drupal 译文及原创分享
标签
Drupal 8

30款强大且免费的Drupal 主题

东方龙马 提交于 28 January 2013

这里列了30款免费的Drupal主题,其中既有简约的,也有复杂的Drupal的布局,也有部分是支持响应式布局。对于不熟悉与Drupal的开发者,这是一个很好的学习模板系统的方法,开发更轻巧的主题。如果看到任何不错的主题,请留言与我们分享。

Retromania

retromania free drupal cms theme download

板块
Drupal 主题开发
标签
Drupal主题制作

使用Drupal的Unicode函数处理字符串

toto多背一公斤 提交于 28 January 2013

原文地址:http://drupal.org/node/473460

如果你正在编写一个模块或主题,认为它将用于世界各地的网站上,其中一些语言使用的字符是多字节的Unicode,而不是单字节的ASCII码或欧洲语言格式。在操作多字节的文本时,一些内置的PHP字符串处理函数可能会没有正常工作,。 基于这个原因,Drupal提供了PHP的内置文字函数的替代函数。在Drupal编程开发时,你应该使用这些替代函数,除了Drupal注明的地方。Coder模块可以用来检查你编写模块中的这些替代函数。 下面是替代函数:

手动运行cron

wfyanmnm 提交于 27 January 2013

原文地址:http://drupal.org/node/158922

在Drupal7中运行cron

到管理 > 报告 > 状态报告。将页面往下拖动至“Cron维护任务”并点击“手动运行cron”。

同时,drupal核心还提供了一个带有唯一cron_key的链接,可以在网站外部运行cron.

在Drupal5和6中手动运行cron

要运行cron,只需要简单的通过浏览器访问您自己网站的链接http://example.com/cron.php就 可以,cron将会完全在后台运行。您只会看到一个空白页面,这很正常。点击浏览器上的回退按>钮返回到前一个页面。无论您在空白页面上停留多久,返回到前一页面都不会停止cron的运行。

Drupal核心还提供了一个很方便的链接来运行cron.通过链接/admin/logs/status/run-cron?destination=admin%2Flogs%2Fstatus查看状态页。您可以在任何想要执行cron的时候通过把它粘>贴到您自己网站的地址栏来访问。

订阅

分类

最新话题