0

我在 Drupal 7 中主要有两个安全问题。

  1. 当用户输入时http://sitename/node,用户将能够查看迄今为止在站点中创建的所有节点。在站点中,有一些内容类型对站点上的所有用户都是可见的,而一些内容类型仅限于创建的用户和共享的用户。如何阻止用户查看他们尚未创建的那些节点。如果用户输入 http:///node 然后显示“页面未找到”,我也可以。

  2. 同样,我安装了“URL 路径别名”模块,它用标题别名替换 URL。现在当用户输入http://sitename/node/260260 是随机数时。这可以被重定向到一个有效的页面,并且用户可以知道内容的 [nid]。黑客可以使用 SQL 注入或其他技术从通用 [node] 表中删除内容。如何限制网站中的此类黑客行为。

请让我知道你的看法。

4

1 回答 1

0

访问 drupal 权限页面@/admin/people/permissions。

使用角色和权限,您可以设置谁可以看到什么。如果您以安全的方式定义了站点角色和权限,则知道 URL 是可以的。

Pathauto 模块,或使用内置于“URL 路径别名”的 drupal 是为 SEO 设计的,只是让你的 URL 看起来很漂亮.. 它没有安全影响;)

于 2014-10-20T08:59:35.867 回答