В Drupal 7 у меня в основном две проблемы с безопасностью.
Когда пользователь вводит
http://sitename/node
, он сможет просматривать все узлы, созданные на сайте до настоящего времени. На сайте есть некоторые типы контента, которые доступны для просмотра всем пользователям сайта, а некоторые - только для созданных пользователей и общих пользователей. Как запретить пользователям просматривать те узлы, которые они не создали. Для меня также будет нормально, если пользователь введет узел http: ///, а затем отобразится «Страница не найдена».Точно так же я установил модуль «Псевдоним пути URL», который заменяет URL псевдонимом заголовка. Теперь, когда пользователь вводит
http://sitename/node/260
, где 260 - случайное число. Его можно перенаправить на действующую страницу, и пользователь узнает [nid] содержимого. хакеры могут использовать SQL-инъекцию или другой метод для удаления содержимого из общей таблицы [node]. Как ограничить такой взлом на сайте.
Пожалуйста, дайте мне знать ваше мнение.