【问题标题】:Public repository for a Drupal installation: What security risks?Drupal 安装的公共存储库:有哪些安全风险?
【发布时间】:2010-06-11 03:56:56
【问题描述】:

我将一个 Drupal 项目放在一个开源托管站点上。哪些文件不能放在那里,以免危及我网站的安全?

各种 settings.php 浮现在脑海中。显然数据库本身不会在存储库中。还有什么危险的吗?

我正在运行 Drupal 6。

另外,最好以某种方式让数据库本身受到版本控制。知道该怎么做吗?

更新:如果我要转储数据库数据、加密它并对其进行版本化怎么办?

【问题讨论】:

    标签: security drupal-6 version-control project-hosting


    【解决方案1】:

    确保不要提交User Uploaded Files。我不会上传你的数据库转储,即使它是加密的。我也会小心 .htaccess 文件。

    提交 settings.php 将是您能做的最糟糕的事情,您可以尝试在文件中查找您的 mysql 用户/密码,以确保它没有重复。

    如果 Drupal 受版本控制,您可以将其与 Drupal 的存储库进行比较,以查看哪些文件已更改。 TortiseSVN 之类的东西让这个过程变得非常简单。

    我也会小心缓存文件,但据我所知 Drupal 只有一个基于 sql 的缓存。

    对于 SQL 版本控制,最常见的是使用 mysqldump。另一种方法是使用scripted versioning strategyPHP Implementation。转储任何cache_* 表、Variable 表,当然还有user 表都是不安全的。

    【讨论】:

    • 好的。知道我还能如何对数据库进行版本控制吗?我正在使用 Mercurial。
    【解决方案2】:

    插件是我唯一会隐藏的东西。原因是插件有自己的安全漏洞,向全世界宣布你使用的版本可能会让你被黑。不过 Drupal 本身非常安全

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2019-06-17
      • 2011-11-27
      • 2017-06-06
      • 2021-05-31
      • 2018-09-09
      • 1970-01-01
      • 1970-01-01
      • 2010-10-26
      相关资源
      最近更新 更多