原文链接:http://drupal.org/node/101495
输入,不管是来自访问者还是是服务端,都应该小心处理。
考虑下面从W. J. Gilmore's的 A Programmer's Introduction to PHP 4.0改写而来的例子。此例将用户输入的参数填入查询语句中。
- 阅读更多 关于 小心处理用户的输入
- 登录或注册以发表评论
- 阅读更多 关于 PHP 异常
- 登录或注册以发表评论
原文链接: http://drupal.org/node/117058
对于初学者来说,始终确保上载到“files”目录或其他指定的目录的文件有(上传,查看,下载,删除)的权限。注意,在下面的示例代码中的硬编码目录“files”是用来简化的例子,在现实中这个目录是可配置的。
用户没有阅读或删除重要的系统文件(如 /etc/passwd 或 sites/default/settings.php) 的权限。虽然这些示例集中删除,请记住读取任意文件也是不可取。
<?php
/** Example 1 - Insecure
* Arbitrary file deletion.
*
* $file is path/filename (eg files/myfile.txt) provided by the user.
*/
file_delete($file);
?>
恶意用户可以滥用通过Example 1中提供不同的目录(如 /sites/default/settings.php)的文件名的中授予对其的信任。对执行Drupal(通常web服务器)的这些文件用户帐户的权限攻击显然受限制。
- 阅读更多 关于 目录
- 登录或注册以发表评论
原文链接: http://drupal.org/node/117054
[本节是一个进展中的工作]
Nutshell的忠告
允许用户在管理您的服务器上的文件是一种有潜在危险的操作。
您需要确保用户不能
- 查看任意文件。
- 删除任意文件。
- 覆盖 '重大' 的文件。
- 上载和执行任意文件。
- 完全填充设备 (或磁盘配额)。
请注意,"任意"是指"在服务器上的任何文件"。因此,例如,如果限制到他们,然后在"files"目录中的文件不是任意。但如果用于写入文件的代码允许用户以某种方式影响的文件路径,然后他们可以插入"../../"到的文件名将获得它背出的"files/"目录和到服务器上其他目录。
- 阅读更多 关于 文件上传、下载与管理
- 登录或注册以发表评论
博思
www.bonesdev.com
是由一个3年工作经验的Drupal开发者组织的兼职团队,主要从事基于Drupal的网站开发, Web App (基于jQuery Mobile/Sencha Touch ), Android App开发。
团队已经和多家企业有过合作,比如华方印务,GlobalDev 等.
我们没有专业的市场开发人员,只是一批业余时间做兼职的人。
现寻长期的企业合作,提供开发外包,技术咨询服务。
个人Github: http://github.com/jackey
联系: QQ: 397420507
手机: 15821121753
原文来自:http://buytaert.net/updated-drupal-8-release-schedule
备注:本文中的一些信息已经过期,如需了解Drupal8发布相关的最新信息,请访问:http://drupal.org/core/release-cycle。
Drupal 8 发布时间表
正如Drupal开发者们在DrupalCon大会上谈到的, 很显然Drupal8现在仍然有许多关于功能冻结(feature freeze,下同)和代码冻结(code freeze,下同)的问题。比如部分功能冻结之后我们该如何实现该功能?什么时候可以开始升级相关模块到Drupal8版本? 什么时候我们可以开始测试Drupal8? 下面我们将回答这些问题以及该文章中提到的其他问题。
这里列了30款免费的Drupal主题,其中既有简约的,也有复杂的Drupal的布局,也有部分是支持响应式布局。对于不熟悉与Drupal的开发者,这是一个很好的学习模板系统的方法,开发更轻巧的主题。如果看到任何不错的主题,请留言与我们分享。
Retromania
原文地址:http://drupal.org/node/158922
在Drupal7中运行cron
到管理 > 报告 > 状态报告。将页面往下拖动至“Cron维护任务”并点击“手动运行cron”。
同时,drupal核心还提供了一个带有唯一cron_key的链接,可以在网站外部运行cron.
在Drupal5和6中手动运行cron
要运行cron,只需要简单的通过浏览器访问您自己网站的链接http://example.com/cron.php就 可以,cron将会完全在后台运行。您只会看到一个空白页面,这很正常。点击浏览器上的回退按>钮返回到前一个页面。无论您在空白页面上停留多久,返回到前一页面都不会停止cron的运行。
Drupal核心还提供了一个很方便的链接来运行cron.通过链接/admin/logs/status/run-cron?destination=admin%2Flogs%2Fstatus查看状态页。您可以在任何想要执行cron的时候通过把它粘>贴到您自己网站的地址栏来访问。
- 阅读更多 关于 手动运行cron
- 登录或注册以发表评论