Проблемы безопасности в Drupal 7

В Drupal 7 у меня в основном две проблемы с безопасностью.

  1. Когда пользователь вводит http://sitename/node, он сможет просматривать все узлы, созданные на сайте до настоящего времени. На сайте есть некоторые типы контента, которые доступны для просмотра всем пользователям сайта, а некоторые - только для созданных пользователей и общих пользователей. Как запретить пользователям просматривать те узлы, которые они не создали. Для меня также будет нормально, если пользователь введет узел http: ///, а затем отобразится «Страница не найдена».

  2. Точно так же я установил модуль «Псевдоним пути URL», который заменяет URL псевдонимом заголовка. Теперь, когда пользователь вводит http://sitename/node/260, где 260 - случайное число. Его можно перенаправить на действующую страницу, и пользователь узнает [nid] содержимого. хакеры могут использовать SQL-инъекцию или другой метод для удаления содержимого из общей таблицы [node]. Как ограничить такой взлом на сайте.

Пожалуйста, дайте мне знать ваше мнение.


security drupal-7 drupal-nodes
person simple user    schedule 30.11.2013    source источник

Ответы (1)


arrow_upward
0
arrow_downward

посетите страницу разрешений drupal @ / admin / people / permissions.

Используя роли и разрешения, вы можете указать, кто и что может видеть. зная, что URL-адрес - это нормально, если вы определили роли и разрешения для своего сайта надежным и безопасным способом.

Модуль Pathauto или использование drupal, встроенного в «Псевдоним пути URL», разработан для SEO и просто делает ваш URL красивым ... он не влияет на безопасность;)

person Abdelrahman Magdy    schedule 20.10.2014