[gelöst] Drapal 9 PHP und Colorbox unsicher, was nehmt ihr?

Da hänge ich mich mit dran würde gerne auch eine Alternative zu Colorbox wissen

für Colorbox gibts zumindest schon mal ein Issue
https://www.drupal.org/project/colorbox/issues/3244987

vielleicht gibts auch einfach bald einen Patch.

Bei PHP finde ich das doch etwas rätselhaft.

ich habe auf einer D9 Seite das PHP Modul installiert.
Ich habe aber keine Ahnung, wo es überhaupt genutzt wird.
Kann das irgendwie herausfinden ?

Bei D9 weiß ich nicht, bei D7 nutze ich das Modul um aus Bildern eine Galerie mit Lightbox zu generieren.

Das PHP-Modul dient dazu, um in einem Inhaltstyp in einer Textarea PHP-Code ausführen zu können. Das ist ein Sicherheitsrisiko. So etwas sollte immer in einem eigenen Modul passieren, dann braucht es das PHP-Modul nicht. Versucht also,ob es auch ohne geht.

ich habe jetzt einfach die Datenbank nach
<?php
durchsucht, weil ich nicht weiß, wo dieses Textformat eingesetzt wurde.
Da habe ich nur einen deaktivierten Custom Block gefunden. Und natürlich Einträge für die Cache und Config Tabellen.
schaut für mich so aus, als könnte ich den Block entfernen und das Modul deinstallieren.
Oder übersehe ich das doch was?

Das sieht so aus, als sei das ein Relikt, das nicht mehr gebraucht wird. Einfach das PHP-Modul deinstallieren. Es dürfte dann auch ein zugehöriges Text-Format geben. Das würde ich auch entfernen.

es sind doch einige Textformate zu prüfen.
Aber es gibt doch immer eine Auflistung der "aktivierten Filter" bei den Textformaten.
und dann

"PHP-Evaluator
Führt PHP-Code aus. Der Gebrauch dieses Filters sollte auf Administratoren beschränkt werden!"

wenn da bei keinem Textformat ein Hacken ist, sollte das doch auch ein sicheres Zeichen sein, dass das PHP Text nicht verwendet wird, oder?

Sehe ich auch so.

Danke!
blöde Frage weil hier gut passt:

sollte beim Deinstallieren eine Modules nach
Drush pmu modulname
auch noch ein
composer remove drupal/modulname
machen?

Wenn das Modul mit composer installiert wurde und im composer.json aufgeführt ist, solltest du es noch mit composer durch remove aus dem Dateisystem der Installation entfernen. Drush deaktiviert nur das Modul und entfernt die zugehörigen Datenbankeinträge. Das Modul existiert aber weiter auf der Festplatte.

nochmals viele Dank!

hhmmm. doch nicht so problemlos.
Nach Deinstallation und composer remove von PHP

sind manche Seiten nicht erreichbar und es wird gemeckert, dass das Plugin PHP nicht installiert ist.

Drupal\Component\Plugin\Exception\PluginNotFoundException: The "php" plugin does not exist. Valid plugin IDs for Drupal\views\Plugin\ViewsPluginManager are: current_user_cart_ids, product, product_variation, active_store, current_content_id:context_stack.current_content:account.user, current_content_id:context_stack.current_content:account.entity, current_content_id:context_stack.current_content:view.block_content, current_content_id:context_stack.current_content:view.comment, current_content_id:context_stack.current_content:view.commerce_log, ........
....
Drupal\Core\Plugin\DefaultPluginManager->doGetDefinition() (Zeile 53 in /var/www/html/web/core/lib/Drupal/Component/Plugin/Discovery/DiscoveryTrait.php).

Drush cr und Drush updb helfen nicht :-(

es gibt seit heute ein Update für Colorbox, das die Sicherheitslücken angeblich schließt!

PHP scheint mehr oder tot zu sein.

zu dem oben genannten Fehler:
wenn man das PHP Modul deinstalliert bleiben teilweise komische Reste in der Konfiguration. die alle möglichen Fehler verursachen.
Ich habe dann die Konfiguration exportiert und alle Dateien auf PHP, PHP_CODE usw. durchsucht.
Bei mir war unter anderem die Sichtbarkeit eines Blocks mit PHP Code geregelt...