Drupal中文社区
原文链接:https://drupal.org/node/715010
使用eval()或是drupal_eval()在你模块的代码可能会有安全风险如果php输入中包含恶意代码。
在你的模块里添加一个许可使用php,使它更明确安全风险分配用户的权限是一个最佳的实践。你应当再给php input的表单添加一个警告。
例如,以下是Frupal核心模块如何使用php控制block可见性:
block.module:
<?php
function block_perm() {
return array('administer blocks', 'use PHP for block visibility');
}
?>
Drupal 7使用更通用的权限应使用任何模块允许用户使用php代码在他们的设置页里。
block.admin.inc (Drupal 6):
block.admin.inc (Drupal 7):