După ce am participat la Drupal HackCamp 2018 în București, un eveniment concentrat pe securitate cu vorbitori internaționali, am obținut perspective valoroase despre securitatea web pe care aș dori să le împărtășesc. Conferința a consolidat ideea că securitatea nu este doar o preocupare de backend - necesită vigilență din partea tuturor dezvoltatorilor din stiva tehnologică.

Prevenirea Injectării SQL

Una dintre cele mai critice vulnerabilități de securitate în aplicațiile web este injectarea SQL. Luați în considerare această interogare vulnerabilă:

// NESIGUR: Interpolare directă a variabilei în interogarea SQL
$result = db_query("SELECT n.title FROM {node} n WHERE n.type = '$type'");

Acest cod este susceptibil la atacuri de injectare SQL. Un utilizator rău intenționat ar putea injecta o interogare UNION de genul:

story' UNION SELECT s.sid, s.sid FROM {sessions} s WHERE s.uid = 1 --

Această injectare ar putea expune date sensibile, inclusiv informații despre sesiunea administrativă. Iată cum să scrieți interogări sigure în schimb:

// SIGUR: Utilizarea interogărilor parametrizate cu evadare corespunzătoare
$result = db_query("SELECT n.nid FROM {node} n WHERE n.nid > :nid", 
 array(':nid' => $nid)
);
// Alternativă utilizând API-ul de baze de date
$query = db_select('node', 'n')
 ->fields('n', array('nid'))
 ->condition('n.nid', $nid, '>')
 ->execute();

Sanitizarea Output-ului

Securitatea JavaScript
Pentru a preveni atacurile XSS în JavaScript, sanitizați întotdeauna datele înainte de a le insera în DOM:

// SIGUR: Sanitizare text înainte de inserarea în DOM
var safeText = Drupal.checkPlain(userProvidedText);
element.innerHTML = safeText;

Securitatea Traducerii
Sistemul de traducere al Drupal oferă mai multe tipuri de substituenți pentru diferite contexte de securitate:

// Diferite tipuri de substituenți pentru diferite nevoi de securitate
$text = t('Welcome @user to %site_name. Visit :link', array(
 '@user' => $username,        // Înlocuire text simplu
 '%site_name' => $siteName,   // Text înconjurat de tag-uri <em>
 ':link' => $url,             // URL pentru atribute href
));

Metode de Sanitizare a Șirurilor
Drupal oferă mai multe metode pentru securizarea output-ului:

// Evadarea caracterelor speciale HTML
$safeText = Html::escape($userInput);
// Formatarea șirurilor cu substituenți în mod sigur
use Drupal\Component\Render\FormattableMarkup;
$safeMarkup = new FormattableMarkup($pattern, $arguments);
// Filtrarea HTML pentru a preveni XSS
$safeHtml = Xss::filter($userGeneratedHtml);

Practici de Bază în Securitate

1. Actualizări Regulate
  - Abonați-vă la anunțurile de securitate prin email/RSS/Twitter
  - Mențineți Drupal core și modulele contributive actualizate
  - Implementați notificări de actualizare automate

2. Securitatea Mediului de Dezvoltare

  // Verificăm dacă ne aflăm într-un mediu de producție
  if (getenv('ENVIRONMENT') === 'production') {
    // Dezactivăm modulele de dezvoltare
    module_disable(array('devel', 'simpletest'));
    // Eliminăm dependențele dev ale Composer
    shell_exec('composer install --no-dev');
  }

3. Securitatea Modulului de Testare

  // Activăm modulele de testare doar în dezvoltare
  if (!drupal_is_cli() && !in_array('testing', variable_get('enabled_modules', array()))) {
    module_disable(array('simpletest'));
  }

Conferința a consolidat ideea că securitatea este o responsabilitate comună care necesită vigilență constantă și cunoștințe actualizate. Implementând aceste practici în mod constant, putem crea aplicații Drupal mai sigure care protejează mai bine utilizatorii și datele lor.

Amintiți-vă: Securitatea nu este o implementare unică, ci un proces continuu care necesită audituri regulate, actualizări și îmbunătățiri pentru a rămâne în fața amenințărilor emergente.