我想和我一起创建几个 PHP 块,因为管理员只能编辑
来自http://drupal.org/node/1046700:
重要提示:启用 PHP 过滤器模块时需要考虑安全问题。PHP 输入过滤器引入了恶意用户使用恶意脚本攻击您的网站的可能性。您应该只向您信任的人授予使用 PHP 过滤器的权限。此外,请确保您授予权限的人是称职的 PHP 编码人员,因为格式错误的代码可能会破坏您的网站并使其完全停止运行。为这个模块(和其他潜在危险的角色)创建一个单独的角色是个好主意,比如“开发者”或“网站管理员”,与可能是 Drupal 专家但不是专家编码员的“管理员”不同,因此您可以授予它只适用于那些满足这些标准的人。
这是否意味着存在来自外部攻击的风险,或者我是否可以添加仅供我使用的 PHP 块?
与您相关的部分如下:
您应该只向您信任的人授予使用 PHP 过滤器的权限。
编写代码时总是存在将站点暴露于可能的攻击的风险,实际上 Drupal 安全团队的任务是向模块维护人员报告安全漏洞以修复它们。
使用 PHP 过滤器,更直接的风险是使用它的用户可以访问任何数据库表。有人很容易更改用户帐户的密码、更改节点的所有权等。
他们只是确保您知道如果您只授予任何人使用 PHP 代码文本格式的权限,您可能会遇到麻烦。他们还警告说,如果您弄乱了 PHP,它可能会弄乱网站,这与您上传不正确的 PHP 脚本没有什么不同。
在人员 -> 权限中,有一个权限“使用 PHP 代码文本格式”。确保只有您信任使用 PHP 的角色才能访问它。如果您使用用户 1 来管理您的块,只需将其保留为没有其他具有该权限的角色。用户 1 拥有一切权限。
我还建议使用不同的管理主题,以减轻 PHP 错误阻止您访问管理面板的可能性。