0

管理者には編集権限しかないので、私と一緒にいくつかの PHP ブロックを作成したい

http://drupal.org/node/1046700から:

重要な注意事項: PHP フィルター モジュールを有効にする際には、セキュリティに関する考慮事項があります。PHP 入力フィルターにより、悪意のあるユーザーが悪意のあるスクリプトで Web サイトを攻撃する可能性が生じます。PHP フィルターを使用する許可は、信頼できる人にのみ付与してください。また、許可を与える相手が有能な PHP コーダーであることを確認してください。不正なコードは Web サイトを破壊し、完全に機能を停止させる可能性があります。このモジュール (およびその他の潜在的に危険なもの) に対して、「開発者」や「ウェブマスター」などの別の役割を作成することをお勧めします。これは、Drupal の専門家である可能性があるがコーダーの専門家ではない「管理者」とは異なります。などの条件を満たす方に限ります。

これは、外部からの攻撃によるリスクがあることを意味するのでしょうか? それとも、PHP ブロックを自分で使用するためだけに追加してもよいのでしょうか?

4

2 に答える 2

1

あなたに関連する部分は次のとおりです。

信頼できる人にのみPHPフィルターを使用する許可を与える必要があります。

コードを書くときにサイトを攻撃の可能性にさらすリスクは常にあります。実際、Drupalセキュリティチームのタスクは、セキュリティホールをモジュールメンテナに報告して修正することです。
PHPフィルターを使用すると、より差し迫ったリスクは、それを使用するユーザーが任意のデータベーステーブルにアクセスできることです。誰かがユーザーアカウントのパスワードを変更したり、ノードの所有権を変更したりするのは簡単です。

于 2013-03-01T10:52:06.503 に答える
0

彼らは、PHP コードのテキスト形式に対する許可を誰にでも与えると、問題が発生する可能性があることを確認しているだけです。彼らはまた、PHP を台無しにすると、適切でない PHP スクリプトをアップロードした場合と同じように、サイトが台無しになる可能性があると警告しています。

people -> パーミッションに、「PHP コードのテキスト形式を使用する」というパーミッションがあります。PHP を使用することを信頼しているロールだけがアクセスできるようにしてください。ユーザー 1 を使用してブロックを管理している場合は、その権限を持つ他の役割を持たないままにしておきます。ユーザー 1 にはすべての権限があります。

また、不適切な PHP でブロックされて管理パネルにアクセスできなくなる可能性を軽減するために、別の管理テーマを使用することをお勧めします。

于 2013-02-28T16:33:16.607 に答える