<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
<br>
Karanbir Singh wrote:
<blockquote cite="mid:48E0FE5D.4020403@karan.org" type="cite">
  <pre wrap="">Ned Slider wrote:
  </pre>
  <blockquote type="cite">
    <pre wrap="">We (in my day job) see the same security issues for Joomla based sites 
when modules are used to extend core functionality. Site 
developers/owners are quick to extend functionality by installing 
additional plugins but then don't want the responsibility of maintaining 
multiple packages/plugins on the server. It just adds a further layer of 
complexity as any plugins need to also be separately monitored (and 
maintained) for security updates.
    </pre>
  </blockquote>
</blockquote>
Drupal 6 core has a built-in Update Status feature to keep the site
admin up to date with new releases (contributed modules and security
releases). It synchronizes with drupal.org and warns you when there are
new releases for your modules. The update path is fairly easy and
automated. using cvs to check out Drupal and its modules can save you a
lot of time.<br>
<blockquote cite="mid:48E0FE5D.4020403@karan.org" type="cite">
  <pre wrap=""><!---->
yes, and its things like this :

<a class="moz-txt-link-freetext" href="http://drupal.org/node/313054">http://drupal.org/node/313054</a>

which are quite scary.
  </pre>
</blockquote>
<br>
This is what happens when you don't use the <a
 href="http://api.drupal.org/">Drupal API</a>, which saves the
developers from having to worry about common security issues like XSS,
CSRF, SQL injection etc. In that way it's very quick to evaluate the
quality of a module: you just need to check whether they make good use
of the API or not...<br>
<br>
scor,<br>
<a class="moz-txt-link-freetext" href="http://drupal.org/user/52142">http://drupal.org/user/52142</a><br>
</body>
</html>