大家都知道php编码漏洞造成的问题严重性,而drupal恰恰是用PHP实现的。幸好drupal有很多的内置方法帮我们处理一些安全方面的问题,只要熟悉就能很大程度确保安全。
form表单提交过来的数据本来是可以构造的,但drupal给我们提供了一个token机制,提交后会判断值是否为表单内置的几个值其中之一,这样就为checkbox,select等控件提供了一定安全保障。
另外drupal数据流的原则是原样保存到数据库中,输出的时候做过滤和转义。也就是说不管用户输入什么数据,包括html字符等等,只要我们使用drupal的内置db接口,就不会有问题,原样保存,输出的时候如果是文本数据用check_plain()函数做下处理,基本就没什么问题了,至于需要一些简单的样式或者需要特定的html字符,我们用filter_xss()函数即可处理。
总之,输出用户提供的数据时要格外小心,drupal的安全漏洞公告有几个模块都是因为这样的问题导致的,包括5.11版本的book模块标题没有转义。更多的安全常识和知识还要多参考php安全方面的东西,很喜欢《PHP Security Guide》中那句话:Security is a measurement, not a characteristic.
