我想创建一对PHP块与我作为管理员只有能力编辑
从http://drupal.org/node/1046700:
重要提示:在启用PHP过滤器模块时需要考虑安全问题。PHP输入过滤器引入了恶意用户使用恶意脚本攻击您的网站的可能性。您应该只向您信任的人授予使用PHP过滤器的权限。另外,确保你授权的人是有能力的PHP程序员,因为错误的代码可能会破坏你的网站并使其完全停止运行。最好为这个模块(和其他潜在的危险角色)创建一个单独的角色,比如"开发人员"或"网站管理员",区别于可能是Drupal专家但不是专业编码员的"管理员",这样你就可以只把它授予那些符合这些标准的人。
这是否意味着存在来自外部攻击的风险,或者我是否可以添加仅供我使用的PHP块?
您的相关部分如下:
你应该只把使用PHP过滤器的权限授予你信任的人。
在编写代码时,总是有将站点暴露给可能的攻击的风险,实际上Drupal安全团队的任务是向模块维护者报告安全漏洞以修复它们。
使用PHP过滤器,更直接的风险是使用它的用户可以访问任何数据库表。有人可以很容易地更改用户帐户的密码,更改节点的所有权,等等。
他们只是确保你知道,如果你允许任何人使用PHP代码文本格式,你可能会陷入麻烦。他们还警告说,如果你把PHP搞砸了,它可能会把网站搞砸,这和你上传了一个不正确的PHP脚本没有什么不同。
在people -> permissions中,有一个"使用PHP代码文本格式"的权限。确保只有您信任的角色才能使用PHP访问它。如果您正在使用用户1来管理您的块,请不要让其他角色拥有该权限。用户1具有所有权限
我还建议有一个不同的管理主题,以减轻潜在的block与不良PHP阻止您访问您的管理面板