light mode
night mode
ওয়েব ডেভেলপার্স (Web Developers Guide)
ওয়েব ডেভেলপমেন্টের ভূমিকা এবং পরিচিতি ওয়েব ডেভেলপমেন্ট কী? ফ্রন্টএন্ড, ব্যাকএন্ড, এবং ফুল-স্ট্যাক ডেভেলপমেন্ট ওয়েব ডেভেলপমেন্টের ইতিহাস এবং বিকাশ ওয়েব ডেভেলপারদের দায়িত্ব এবং কাজের ক্ষেত্র ওয়েব ডেভেলপমেন্টের মৌলিক ধারণা ইন্টারনেট এবং ওয়ার্ল্ড ওয়াইড ওয়েবের ধারণা ওয়েব ব্রাউজার এবং ওয়েব সার্ভারের ভূমিকা HTTP এবং HTTPS প্রোটোকল ডোমেইন নেম এবং হোস্টিং পরিষেবা HTML (HyperText Markup Language) HTML এর মৌলিক ধারণা এবং সিনট্যাক্স ট্যাগ, এট্রিবিউট, এবং এলিমেন্টস হেডার, প্যারাগ্রাফ, লিস্ট, এবং লিঙ্কস ইমেজ, ভিডিও, এবং অডিও এমবেড করা HTML5 এর নতুন ফিচারস এবং সেমান্টিক এলিমেন্টস CSS (Cascading Style Sheets) CSS এর ভূমিকা এবং প্রয়োজনীয়তা সিলেক্টরস, প্রোপার্টিজ, এবং ভ্যালুজ ক্লাস এবং আইডি সিলেক্টরস বক্স মডেল, মার্জিন, প্যাডিং, এবং বর্ডার CSS লেআউট: ফ্লোট, ফ্লেক্সবক্স, এবং গ্রিড রেসপনসিভ ডিজাইন এবং মিডিয়া কুয়েরিজ জাভাস্ক্রিপ্ট (JavaScript) জাভাস্ক্রিপ্টের ভূমিকা এবং প্রয়োজনীয়তা ভেরিয়েবলস, ডেটা টাইপস, এবং অপারেটরস কন্ডিশনালস এবং লুপস ফাংশনস এবং ইভেন্ট হ্যান্ডলিং DOM (Document Object Model) ম্যানিপুলেশন জাভাস্ক্রিপ্ট এর মাধ্যমে ফর্ম ভ্যালিডেশন ফ্রন্টএন্ড ফ্রেমওয়ার্কস এবং লাইব্রেরিস জেকোয়েরি (jQuery) পরিচিতি React.js এর মৌলিক ধারণা Angular এবং Vue.js এর পরিচিতি Bootstrap এবং Materialize CSS ব্যবহার SPA (Single Page Application) তৈরি করা ব্যাকএন্ড ডেভেলপমেন্ট সার্ভার-সাইড প্রোগ্রামিং এর ধারণা জনপ্রিয় ব্যাকএন্ড ভাষা: PHP, Python, Node.js ফ্রেমওয়ার্কস: Laravel, Django, Express.js API এবং RESTful ওয়েব সার্ভিসেস Authentication এবং Authorization ডেটাবেস ম্যানেজমেন্ট সিস্টেমস ডেটাবেসের ধারণা এবং প্রয়োজনীয়তা রিলেশনাল ডেটাবেস (MySQL, PostgreSQL) নন-রিলেশনাল ডেটাবেস (MongoDB) SQL এর মৌলিক ধারণা ডেটাবেস ডিজাইন এবং মডেলিং ওয়েব হোস্টিং এবং ডোমেইন ম্যানেজমেন্ট ওয়েব হোস্টিং কী এবং কেন প্রয়োজন? শেয়ার্ড, VPS, এবং ক্লাউড হোস্টিং ডোমেইন নেম রেজিস্ট্রেশন এবং DNS সেটআপ SSL সার্টিফিকেট এবং সাইট নিরাপত্তা ডিপ্লয়মেন্ট প্রক্রিয়া এবং FTP/SFTP ব্যবহার ভার্সন কন্ট্রোল সিস্টেম (Git) ভার্সন কন্ট্রোলের ধারণা Git ইনস্টলেশন এবং মৌলিক কমান্ডস GitHub/GitLab এর সাথে রেপোজিটরি তৈরি ব্রাঞ্চিং এবং মার্জিং কলাবোরেশন এবং কনফ্লিক্ট রেজোলিউশন টেস্টিং এবং ডিবাগিং ওয়েব অ্যাপ্লিকেশন টেস্টিং এর প্রয়োজনীয়তা ইউনিট টেস্টিং এবং টেস্ট ড্রিভেন ডেভেলপমেন্ট ডিবাগিং টুলস এবং কনসোল ব্যবহার ব্রাউজার ডেভেলপার টুলস পারফরম্যান্স টেস্টিং এবং অপটিমাইজেশন সিকিউরিটি বেস্ট প্র্যাকটিস সিকিউরিটির গুরুত্ব এবং সাধারণ আক্রমণ SQL ইনজেকশন এবং XSS থেকে সুরক্ষা CSRF (Cross-Site Request Forgery) প্রতিরোধ ইনপুট ভ্যালিডেশন এবং স্যানিটাইজেশন HTTPS এবং SSL/TLS সেটআপ রেসপনসিভ এবং মোবাইল-ফার্স্ট ডিজাইন রেসপনসিভ ডিজাইন এর প্রয়োজনীয়তা গ্রিড সিস্টেম এবং ফ্লেক্সবক্স ইমেজ এবং ভিডিও এর রেসপনসিভিটি মোবাইল-ফার্স্ট অ্যাপ্রোচ ক্রস-ব্রাউজার কম্প্যাটিবিলিটি অ্যাক্সেসিবিলিটি এবং SEO ওয়েব অ্যাক্সেসিবিলিটির ধারণা ARIA লেবেল এবং সেমান্টিক HTML স্ক্রিন রিডার সাপোর্ট সার্চ ইঞ্জিন অপটিমাইজেশন (SEO) বেস্ট প্র্যাকটিস মেটা ট্যাগস এবং সাইটম্যাপ তৈরি কনটেন্ট ম্যানেজমেন্ট সিস্টেম (CMS) CMS কী এবং এর ব্যবহার ওয়ার্ডপ্রেস (WordPress) পরিচিতি থিম এবং প্লাগইন ব্যবস্থাপনা কাস্টমাইজড থিম এবং প্লাগইন ডেভেলপমেন্ট সিকিউরিটি এবং আপডেট ম্যানেজমেন্ট ক্লাউড কম্পিউটিং এবং সার্ভারলেস আর্কিটেকচার ক্লাউড কম্পিউটিং এর ধারণা AWS, Google Cloud, এবং Azure পরিচিতি সার্ভারলেস ফাংশনস (AWS Lambda, Azure Functions) ক্লাউড স্টোরেজ এবং ডেটাবেস সেবা ক্লাউড ডিপ্লয়মেন্ট এবং স্কেলিং DevOps এবং কনটিনিউয়াস ইন্টিগ্রেশন/ডেলিভারি (CI/CD) DevOps এর ধারণা এবং প্রয়োজনীয়তা CI/CD পাইপলাইন সেটআপ জেনকিন্স (Jenkins), ট্র্যাভিস সিআই (Travis CI) এর ব্যবহার ডকার (Docker) এবং কনটেইনারাইজেশন কুবেরনেটিস (Kubernetes) পরিচিতি অ্যাডভান্সড জাভাস্ক্রিপ্ট এবং টাইপস্ক্রিপ্ট অ্যাসিনক্রোনাস জাভাস্ক্রিপ্ট (Promises, Async/Await) ES6 এবং পরবর্তী সংস্করণের ফিচারস টাইপস্ক্রিপ্টের ধারণা এবং ব্যবহার মডিউলার জাভাস্ক্রিপ্ট এবং ওয়েবপ্যাক (Webpack) প্রগ্রেসিভ ওয়েব অ্যাপ্লিকেশন (PWA) PWA কী এবং এর সুবিধা সার্ভিস ওয়ার্কার এবং ওয়েব অ্যাপ্লিকেশন ম্যানিফেস্ট অফলাইন সাপোর্ট এবং ক্যাশিং PWA ডিপ্লয়মেন্ট এবং বেস্ট প্র্যাকটিস ওয়েব অ্যাসেম্বলি এবং আধুনিক ওয়েব টেকনোলজি ওয়েব অ্যাসেম্বলি (WebAssembly) পরিচিতি ওয়েব আর্টিফিশিয়াল ইন্টেলিজেন্স (WebAI) এবং মেশিন লার্নিং ভিআর/এআর ওয়েব অ্যাপ্লিকেশন ওয়েব কম্পোনেন্টস এবং শ্যাডো DOM বেস্ট প্র্যাকটিস এবং কোডিং স্ট্যান্ডার্ডস ক্লিন কোড এবং রিডেবিলিটি DRY (Don't Repeat Yourself) এবং KISS (Keep It Simple, Stupid) প্রিন্সিপলস কোড রিভিউ এবং পিয়ার প্রোগ্রামিং স্টাইল গাইডস এবং লিন্টিং টুলস ক্যারিয়ার ডেভেলপমেন্ট এবং পরবর্তী পদক্ষেপ পোর্টফোলিও তৈরি এবং জব মার্কেট ইন্টারভিউ প্রস্তুতি এবং কমন প্রশ্নাবলী ওপেন সোর্স কন্ট্রিবিউশন ওয়েব ডেভেলপমেন্টে নতুন ট্রেন্ডস এবং টেকনোলজি

SQL ইনজেকশন এবং XSS থেকে সুরক্ষা

Web Development - ওয়েব ডেভেলপার্স (Web Developers Guide) - সিকিউরিটি বেস্ট প্র্যাকটিস
239

SQL ইনজেকশন কি?

SQL ইনজেকশন (SQL Injection) একটি নিরাপত্তা দুর্বলতা যা ওয়েব অ্যাপ্লিকেশনের ডেটাবেসকে লক্ষ্য করে এবং আক্রমণকারীকে ডেটাবেসে অননুমোদিতভাবে প্রবেশ এবং তথ্য চুরি করতে বা পরিবর্তন করতে সক্ষম করে। এটি সাধারণত তখন ঘটে যখন ওয়েব অ্যাপ্লিকেশন ব্যবহারকারীর ইনপুট (যেমন ফর্ম বা URL) সঠিকভাবে যাচাই না করে ডেটাবেস কুয়েরির মধ্যে ইনজেক্ট করে।

SQL ইনজেকশনের মাধ্যমে আক্রমণকারী একটি বা একাধিক SQL কমান্ড চালাতে পারে যা ডেটাবেসের তথ্য দেখতে, আপডেট করতে বা মুছে ফেলতে পারে। এতে নিরাপত্তা বিপদ তৈরি হয়, যেমন পাসওয়ার্ড চুরি, অ্যাকাউন্ট হাইজ্যাকিং, এবং অতি গুরুত্বপূর্ণ তথ্য চুরি।

SQL ইনজেকশনের উদাহরণ:

ধরা যাক, একটি ওয়েব অ্যাপ্লিকেশন ব্যবহারকারীকে লগইন করার জন্য একটি ফর্ম প্রদান করে, যেখানে ইউজারনেম এবং পাসওয়ার্ড ইনপুট নেওয়া হয়। যদি ইনপুটগুলো ডেটাবেস কুয়েরিতে সরাসরি যোগ করা হয়, তাহলে SQL ইনজেকশনের মাধ্যমে আক্রমণকারী এই রকম একটি ইনপুট ব্যবহার করতে পারে:

' OR 1=1 --

এটি কুয়েরিতে পরিবর্তন এনে ডেটাবেসের সমস্ত তথ্য ফেরত আনতে পারে, কারণ 1=1 সবসময় সত্য।

SQL ইনজেকশন থেকে সুরক্ষা

SQL ইনজেকশন থেকে সুরক্ষিত থাকতে, ডেভেলপারদের কিছু নিরাপদ কোডিং অভ্যাস অনুসরণ করা উচিত:

১. প্রিপেয়ারড স্টেটমেন্ট (Prepared Statements) এবং প্যারামেটারাইজড কুয়েরি ব্যবহার:

প্রিপেয়ারড স্টেটমেন্ট বা প্যারামেটারাইজড কুয়েরি SQL ইনজেকশন প্রতিরোধের অন্যতম কার্যকর পদ্ধতি। এতে ব্যবহারকারীর ইনপুট আলাদা করে ডেটাবেস কুয়েরির অংশ হিসেবে যোগ করা হয় না, বরং কুয়েরি ডিফাইন করা হয় এবং ইনপুট প্রাসঙ্গিকভাবে পরবর্তী সময়ে প্রেরণ করা হয়।

PHP উদাহরণ (MySQLi):

$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $username, $password);
$username = $_POST['username'];
$password = $_POST['password'];
$stmt->execute();

২. ইনপুট ভ্যালিডেশন এবং স্যানিটাইজেশন:

ব্যবহারকারীর ইনপুটগুলি যাচাই করে এবং স্যানিটাইজ করে SQL ইনজেকশন প্রতিরোধ করা যায়। যেমন:

  • ইনপুটে শুধুমাত্র অনুমোদিত ক্যারেক্টারগুলো গ্রহণ করুন (যেমন অক্ষর, সংখ্যা, বিশেষ চিহ্ন সীমিত করুন)।
  • HTML বা JavaScript থেকে ইনপুট পরিষ্কার করতে HTMLentities() বা strip_tags() ব্যবহার করুন।

৩. ডেটাবেসের সীমিত অনুমতি প্রদান:

ডেটাবেস ইউজারকে সর্বনিম্ন প্রিভিলেজ দিন। যদি কোনো অ্যাপ্লিকেশন শুধুমাত্র ডেটা পড়ার অনুমতি প্রয়োজন, তবে ডেটাবেস ইউজারকে শুধুমাত্র SELECT অনুমতি দিন, এবং ডেটাবেসের ডিলিট, আপডেট বা ইনসার্ট অ্যাকসেস নিষিদ্ধ করুন।

XSS (Cross-Site Scripting) কি?

XSS (Cross-Site Scripting) একটি নিরাপত্তা দুর্বলতা যা আক্রমণকারীকে একটি ওয়েব পৃষ্ঠায় ম্যালিশিয়াস স্ক্রিপ্ট (যেমন JavaScript) ইনজেক্ট করতে সক্ষম করে, যা অন্য ব্যবহারকারীদের ব্রাউজারে চালানো হয়। এটি সাধারণত ব্যবহারকারীর ইনপুট যাচাই না করার ফলে ঘটে, যেমন ফর্মের ইনপুট ফিল্ড বা URL থেকে। XSS আক্রমণকারীর স্ক্রিপ্ট বা কোড ব্যবহারকারীকে বিভ্রান্ত করতে, তথ্য চুরি করতে বা সেশন হাইজ্যাকিং করতে ব্যবহৃত হতে পারে।

XSS আক্রমণের উদাহরণ:

ধরা যাক, একটি ওয়েবসাইট ব্যবহারকারীদের মন্তব্য করার অনুমতি দেয়, এবং তারা HTML বা JavaScript কোড ইনপুট করতে পারে। যদি এই ইনপুটগুলো সঠিকভাবে স্যানিটাইজ না করা হয়, আক্রমণকারী নিচের মতো কিছু স্ক্রিপ্ট ইনপুট করতে পারে:

<script>alert('Hacked!');</script>

এটি ব্যবহারকারীর ব্রাউজারে চলবে এবং আক্রমণকারী দ্বারা প্রাপ্ত তথ্য বা অন্যান্য ক্ষতিকারক কার্যকলাপ ঘটাবে।

XSS থেকে সুরক্ষা

XSS আক্রমণ থেকে সুরক্ষা নিশ্চিত করতে নিচের পদ্ধতিগুলি অনুসরণ করা উচিত:

১. ইনপুট ভ্যালিডেশন এবং স্যানিটাইজেশন:

ব্যবহারকারীর ইনপুট যাচাই ও স্যানিটাইজ করার মাধ্যমে XSS আক্রমণ প্রতিরোধ করা যায়।

  • HTML স্পেশাল ক্যারেক্টারগুলো যেমন <, >, &, " ইত্যাদি স্যানিটাইজ করতে হবে।
  • PHP এর htmlspecialchars() বা strip_tags() ফাংশন ব্যবহার করে HTML ইনপুট স্যানিটাইজ করা যেতে পারে।

PHP উদাহরণ:

$comment = htmlspecialchars($_POST['comment'], ENT_QUOTES, 'UTF-8');

২. Content Security Policy (CSP):

Content Security Policy (CSP) একটি নিরাপত্তা বৈশিষ্ট্য যা XSS আক্রমণ প্রতিরোধ করতে সাহায্য করে। এটি ব্রাউজারকে বলে দেয় কোথা থেকে স্ক্রিপ্ট লোড করা যেতে পারে, ফলে একে অপরের স্ক্রিপ্ট রিফিউজ করা হয়।

CSP হেডার উদাহরণ:

Content-Security-Policy: default-src 'self'; script-src 'self' https://trustedscripts.com;

৩. HTTPOnly এবং Secure Cookies:

যতটুকু সম্ভব, HTTPOnly এবং Secure ফ্ল্যাগ ব্যবহার করুন যাতে ব্রাউজার কুকির মাধ্যমে স্ক্রিপ্ট বা JavaScript অ্যাক্সেস করতে না পারে। এতে সেশন হাইজ্যাকিং প্রতিরোধ করা যায়।

Set-Cookie: sessionid=abc123; HttpOnly; Secure

৪. JavaScript ইনপুট স্যানিটাইজেশন:

যদি ওয়েব অ্যাপ্লিকেশন JavaScript কোড গ্রহণ করে, তবে এটি সঠিকভাবে স্যানিটাইজ করা উচিত। eval(), document.write() এবং অন্যান্য বিপজ্জনক ফাংশন থেকে বিরত থাকতে হবে।

সারাংশ

SQL ইনজেকশন এবং XSS (Cross-Site Scripting) হল দুটি গুরুত্বপূর্ণ নিরাপত্তা দুর্বলতা, যা ওয়েব অ্যাপ্লিকেশন এবং ব্যবহারকারীর তথ্যকে ঝুঁকির মধ্যে ফেলে। SQL ইনজেকশন থেকে সুরক্ষিত থাকতে, প্রিপেয়ারড স্টেটমেন্ট এবং প্যারামেটারাইজড কুয়েরি ব্যবহার করা উচিত, এবং XSS থেকে সুরক্ষিত থাকার জন্য ইনপুট স্যানিটাইজেশন, CSP, এবং HTTPOnly Cookies ব্যবহার করা উচিত। এই নিরাপত্তা ব্যবস্থা গুলি ওয়েব অ্যাপ্লিকেশনকে আক্রমণকারীদের থেকে সুরক্ষিত রাখতে সাহায্য করে।

Content added By
Md Zahid Hasan

Read more

সিকিউরিটির গুরুত্ব এবং সাধারণ আক্রমণ CSRF (Cross-Site Request Forgery) প্রতিরোধ ইনপুট ভ্যালিডেশন এবং স্যানিটাইজেশন HTTPS এবং SSL/TLS সেটআপ

or

Don't have an account? Register

Promotion
NEW SATT AI এখন আপনাকে সাহায্য করতে পারে।

Satt AI

Are you sure to start over?