タグ付けされた質問 「security」

サイトのセキュリティに関する質問、特にDrupalサイトを不正アクセスから保護することに焦点を当てた質問に使用してください。

2
Webフォルダーにsettings.phpがあるのはなぜですか?
デフォルトのインストールでは、settings.phpはにありますsites/default/。Drupalの公式Webサイトには、このファイルの場所の変更に関する推奨事項はありません。それはセキュリティの潜在的な問題を引き起こしませんか?Apache Webサーバーが最終的に PHPファイルの解釈に失敗し、想定されるHTMLコンテンツではなく、純粋なプレーン/テキスト形式でPHPファイルのコンテンツを提供するのを見てきました。これにより、暗号化されていないデータベース接続ユーザーとパスワードが完全に公開されます。なぜこのように機能するのですか?
6
Drupal 6はサポートされなくなった後、安全な状態のままになりますか?
私はDrupal 6 + ビュー + CCKを使用してカスタムデータベースインターフェースを作成しました。これは私の会社にとって非常にうまく機能し、最近それを別のサーバーに移行する必要がありました。 私が考えた「ねえ、なぜDrupalの7はインストールしないし、それでデータベースをダンプ:その後、私は、最新バージョンへのDrupalをアップグレードすることができ、我々が移行する間!?」 それは悪い考えであることがわかりました。Drupal 7には、私が提供したDB情報をどう処理するかについての手掛かりがほとんどないようです。そして、今のところ、アップグレードガイドは非常に時間がかかりそうです。 だから私の質問です:Drupal 6はサポートされなくなった後、安全な状態のままになりますか?または、プラットフォームが非推奨になり、脆弱になり、さらに大きなアップグレードが強制されるのでしょうか?
8 6  security  upgrading 
3
クロスサイトスクリプティングを防止する
セキュリティ原則の1つは、クライアントからサーバーに渡される文字列と変数をサニタイズすることです。プレーンPHPには、XSS(クロスサイトスクリプティング)の脆弱性を防ぐための関数がいくつかあります。 htmlspecialchars() strip_tags() XSS攻撃を防ぐためのDrupal 8戦略とは何ですか?クライアントデータポストをクリーンアップして、XSS攻撃からサイトを保護するにはどうすればよいですか? Drupal 7はfilter_xss()XSSの脆弱性を防ぐ必要があることを覚えていますが、XSSの脆弱性に対するDrupal 8の戦略は何ですか?
8 8  security 
1
EntityMetadataWrapper set()のサニタイズされたテキスト入力
検索の結果、EntityMetadataWrapper set()関数を使用してエンティティフィールドを更新する多くの例を見つけ、モジュールに正常に実装しました。しかし、私はあなたが渡すことができるさまざまな配列オプションに関するドキュメント/ベストプラクティスの方法で多くを見つけることができませんでしたset()。データを更新する方法によって、後で予期しない問題が発生しないことを確認したいと思います。 フォーム送信コールバックでテキストフィールド値を直接更新しています。 function hook_FORM_ID_submit(&$form, &$form_state) { // Get the node. $node = node_load($form_state['nid']); // Create entity metadata wrapper to get and set values easily. $node_wrapper = entity_metadata_wrapper('node', $node, array('bundle', $node->type)); // Set fields $node_wrapper->field_quip->set(array("value" => $form_state['values']['field_quip']['value'])); $node_wrapper->field_short_sentence_summary->set(array("value" => $form_state['values']['field_short_sentence_summary']['value'])); // Save node. $node_wrapper->save(); } set()キーを1つだけ持つ配列を渡しています:value。これは正常に動作しているようです。ただし、value()新しい値を設定する前に同じフィールドを呼び出すと、3つのキーを持つ配列が返されます。 $original_value = $node_wrapper->field_quip->value(); // …
8 7  entities  security 
1
ブロックされたIPアドレスには何が表示されますか?
過去数か月間、サーバーを標的とした多くの失敗した攻撃を受けています。私はDrupal IPブロックを使用して、脆弱性をスニッフィングするIPをブロックしています。これがdrupalだけの問題なのか、それともOSに追加されたのか知りたいのですが。また、IPアドレスをブロックすると、攻撃者は何を確認できますか?彼らは404を手に入れますか?彼らは禁止されたメッセージを受け取りますか?またはまったく何もない?これもサーバーのOS IPブロックに追加されない場合、そのモジュールはありますか?
7 security 
4
httpとhttpsの両方のbase_url?
httpとhttpsの両方からアクセスできるサイトがあります。で定義されていないセキュリティレビューの苦情base_urlが表示されsettings.phpます。 しかし、それをとして定義しhttp://example.com、すべてのキャッシュをフラッシュすると、httpsのテンプレートがレンダリングされません。 私がコメントアウトした場合$base_urlの行settings.phpすべてが正常に戻ってきます。 この問題を解決するにはどうすればよいですか?
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.