Drupal 安装的公共存储库：有哪些安全风险？

Question

我正在将 Drupal 项目放在开源托管站点上。我必须不要将哪些文件放在那里，以免损害网站的安全？

我想到了各种settings.php。显然数据库本身不会位于存储库中。还有什么危险的吗？

我正在运行 Drupal 6。

此外，如果能以某种方式将数据库本身置于版本控制之下就好了。知道该怎么做吗？

更新：如果我要转储数据库数据、对其进行加密并对其进行版本控制会怎样？

Answer 1

确保不要提交用户上传的文件。我不会上传你的数据库转储，即使它是加密的。我也会小心 .htaccess 文件。

提交settings.php将是你能做的最糟糕的事情，你可以尝试在文件中查找你的mysql用户/密码以确保它不重复。

如果 Drupal 受版本控制，您可以将其与 Drupal 的存储库进行比较，以查看哪些文件已更改。像 TortiseSVN 这样的东西使这个过程变得非常简单。

我也会小心缓存文件，但据我所知，Drupal 仅具有基于 sql 的缓存。

对于 SQL 版本控制，最常见的是使用 mysqldump。另一种方法是使用脚本化版本控制策略，以及PHP 实现。转储任何 cache_* 表、Variable 表，当然还有 user 表都是不安全的。

Answer 2

插件将是我唯一要隐藏的东西。原因是插件有自己的安全漏洞，向世界宣布您正在使用的版本可能会让您遭到黑客攻击。 Drupal 本身还是相当安全的