variable_getとvariable_setはどの程度安全ですか？

この情報を変数ストアに格納するvariable_setまたはsystem_settings_formでこの情報を保存しないことをお勧めします（これはデフォルトでデータベースであり、memcacheなどのキャッシュが行われている場所ならどこでもキャッシュできます）。

代わりに、情報として$confのsettings.php配列を使用することをお勧めします。 settings.phpは、データベースの資格情報を保存するためにすでに使用していて、すでに他人の目から保護しているという利点があります。

このシステムの優れた点は、variable_getを使用して$confから値をロードできることです。これは簡単で便利です。

詳細については、コメントアウトされたコード例とドキュメントがたくさんあるsettings.phpファイル自体をお読みください。

FTPパスワードをそのままデータベースに保存しないでください-mcrypt（ http://www.php.net/manual/en/mcrypt.examples.php ）または他のライブラリを使用して暗号化し、暗号化暗号を保存しますコードで。

例。

FTPパスワードを保存

$encrypted_password = mcrypt_ecb(MCRYPT_3DES, $cipher, $form_state['values']['password'], MCRYPT_ENCRYPT);
variable_set('ftp_password', $encrypted_password);

FTPパスワードの読み込み

$decrypted_password = mcrypt_ecb(MCRYPT_3DES, $cipher, variable_get('ftp_password', ''), MCRYPT_DECRYPT);

注：$ cipherは、モジュールコードのどこかに定義する必要があります。

Variable_getを介して取得するこれらの変数はすべて変数テーブルに格納され、毎回ロードされますDrupalが開始します。サイト名、メインの電子メールアドレス、およびその他のモジュール構成はこのテーブルに格納されますが、暗号化されません。

variable_getは、サイトテンプレートの任意の場所で機能します（ページテンプレート、カスタムphpブロックなど）。

パスワードを保護する最善の方法は、FTP実装以外でパスワードを取得しないことです。例として、管理フォームでは、デフォルト値としてvariable_get('form-element-key-here', '')を使用します。したがって、フォームは構成を格納したように見えます。これをパスワードフィールドに対して行わないでください。 SMTP認証モジュールとPHPMailerモジュールで使用されているのと同じテクニックを見ることができます。 http://drupalcode.org/project/phpmailer.git/blob/refs/heads/7.x-3.x:/phpmailer.admin.inc

Develモジュールを有効にして安全でないままにしない限り、phpまたはデータベースアクセスを持つ誰もあなたのパスワードを見ることができません。

つまり、データベースの特定のテーブルから情報を格納/取得するための関数にすぎません。データベース全体には、Drupalインスタンス内のすべてのモジュール/テンプレート/ ...からアクセスできます。

いくつかのアドバイスは、あなたがあなたのデータベースに何を保存したいのかを覚えておくことです。あなたはdbが安全であると想定していると述べました、そしてそれはすべての中で最も大きな部分です。

すでに述べたように、そのようなデータを保存する前に暗号化することをお勧めします。