Drupal有个webprofiler的模块，可以跟踪页面页面性能数据。

如果运行过程中遇到依赖问题，可以尝试用composer来再安装一次。

如果不是admin访问的页面，可以查看网络响应头的x-debug-token-link，复制用admin打开。

查询database部分，配置以时间排序，选择swap placeholder替换上真实值，explain一下，看SQL语句是不是没有命中索引。如果没有则考虑添加索引。

  public function buildForm(array $form, FormStateInterface $form_state, $id = 0) {
    $form['exam_table'] = [
      '#type' => 'table',
      '#header' => [
        'select' => '选择',
        'name' => '考试名称',
        'exam_time' => '考试时间',
        'grade' => '年级',
        'weight' => '权重',
      ],
      '#empty' => '暂无考试',
    ];

    $gidValues = json_decode($duokao->weights ??

本站已从Drupal 9升级到Drupal 10

https://drupal.stackexchange.com/questions/27965/ajax-callback-change-checked-radio-button

For Drupal 8+:

$inputs = $form_state->getUserInput(); 
unset($inputs[$item]); 
$form_state->setUserInput($inputs); 

For Drupal 7:

unset($form['input'][$item]);

参考：https://www.drupal.org/node/30334

在Drupal的.htaccess似乎禁用了子目录，在.htaccess里增加以下几行可以允许指定目录被访问：

  RewriteEngine on
  #
  # stuff to let through (ignore)
  RewriteCond %{REQUEST_URI} "/folder1/" [OR]
  RewriteCond %{REQUEST_URI} "/folder2/"
  RewriteRule (.*) $1 [L]

1. DroopeScan

扫描Drupal版本、安装模块，可找出潜在有漏洞的地方。

git clone https://github.com/droope/droopescan.git
cd droopescan
pip3 install -r requirements.txt
./droopescan scan zhiwei-tech.com/test/drupal9/

2. Nikto

寻找服务器漏洞。

nikto -h zhiwei-tech.com

3. Sqlmap

检测一个具体的URL有没有SQL注入漏洞，需要结合脚本收集URL集合来测试。

sqlmap -u https://zhiwei-tech.com/?q=search/content/test

4. Commix

后台命令执行漏洞测试。

https://dev.acquia.com/drupal9/deprecation_status

升级工具：https://www.drupal.org/project/rector

检查工具：

一家广州做Drupal开发的公司。

https://www.xiao-an.com/

1. 管理匿名用户Form页面缓存

use Drupal\Core\Cache\Cache;

// 在匿名用户可以访问的表单里加入下面逻辑，包括列表页面和具体的查看页面

    $form['#cache']['tags'] = ['your_custom_tag_name'];

// 在写入逻辑里让缓存失效
    Cache::invalidateTags(['your_custom_tag_name']);

2. 禁用匿名用户Form页面缓存

在<module>.routing.yml文件路由定义里增加no_cache: 'TRUE'可禁用缓存

参考school_users_import