问Drupal的安全挑战7

EN

我主要关注Drupal 7的两个安全问题。

1. 当用户输入http://sitename/node时，用户将能够查看站点中创建的所有节点，直到日期。在站点中，有一些内容类型可供站点上的所有用户查看，而有些内容类型仅限于创建的用户和共享的users.How，以阻止用户查看未创建的节点。如果用户输入http:///node，然后显示“未找到的页面”，我也不会介意。
2. 类似地，我安装了"URL路径别名“模块，它用标题别名替换URL。现在，当用户进入http://sitename/node/260时，其中260是随机数。这可以重定向到有效的页面，用户可以知道内容的nid。黑客可以使用SQL注入或其他技术从通用节点表中删除内容。如何限制这样的黑客入侵网站。

请告诉我你的看法。