我想与我一起创建几个PHP块,因为管理员只能编辑
来自http://drupal.org/node/1046700:
重要说明:启用PHP过滤器模块时需要考虑安全因素。 PHP输入过滤器为恶意用户提供了使用恶意脚本攻击您网站的可能性。您应该只授予对您信任的人使用PHP过滤器的权限。此外,请确保您授予权限的人是有能力的PHP编码人员,因为格式错误的代码可能会破坏您的网站并完全阻止其运行。为这个模块(以及其他潜在危险的模块)创建一个单独的角色是个好主意,比如'开发人员'或'网站管理员',不同于'管理员',他可能是Drupal专家,但不是专家编码员,所以你可以授予它只适用于那些符合这些标准的人。
这是否意味着存在外部攻击的风险,或者我是否只为我的用途添加PHP块?
答案 0 :(得分:1)
您的相关部分如下:
您应该只授予对您信任的人使用PHP过滤器的权限。
在编写代码时,始终存在使站点暴露于可能的攻击的风险,实际上Drupal安全团队的任务是向模块维护人员报告安全漏洞以修复它们。
使用PHP过滤器,使用它的用户可以访问任何数据库表的风险更大。有人可以很容易地更改用户帐户的密码,更改节点的所有权等等。
答案 1 :(得分:0)
如果你只允许任何人使用PHP代码文本格式,他们只是确保你知道自己会遇到麻烦。他们还警告说,如果你弄乱了PHP,它可能会弄乱网站,与上传不合适的PHP脚本没什么不同。
在人群中 - >权限,有权限“使用PHP代码文本格式”。确保只有您信任的角色才能使用PHP访问它。如果您使用用户1来管理您的块,则只需保留其他具有该权限的角色。用户1拥有所有权限。
我还建议使用不同的管理主题来减少错误的PHP阻止您访问管理面板的可能性。