SQL Injection এবং Cross-Site Scripting (XSS) ওয়েব অ্যাপ্লিকেশনে সিকিউরিটি ভলনারাবিলিটি হিসেবে পরিচিত। এই ধরনের আক্রমণগুলি ডাটাবেস ও ইউজারের সিকিউরিটি লঙ্ঘন করতে পারে এবং এগুলির প্রতিরোধে সঠিক কৌশল অবলম্বন করা অত্যন্ত গুরুত্বপূর্ণ। PHP এবং MySQL ব্যবহার করে এই ধরনের আক্রমণ থেকে বাঁচার জন্য কিছু নির্দিষ্ট নিরাপত্তা কৌশল রয়েছে, যা নিচে আলোচনা করা হয়েছে।
1. SQL Injection প্রতিরোধ
SQL Injection হল একটি নিরাপত্তা দুর্বলতা যেখানে আক্রমণকারী একটি ওয়েব অ্যাপ্লিকেশনের মাধ্যমে অবৈধ SQL কোড ইনজেক্ট করে ডাটাবেসে প্রবেশ করতে পারে। এটি ব্যবহারকারীর ইনপুটের মাধ্যমে SQL কুয়েরি নিয়ন্ত্রণের চেষ্টা করে, যার ফলে সিস্টেমে ক্ষতি হতে পারে বা গোপন তথ্য চুরি হতে পারে।
1.1 Prepared Statements (PDO বা MySQLi)
Prepared Statements ব্যবহার করলে SQL Injection এর আক্রমণ থেকে রক্ষা পাওয়া যায়। এতে SQL কুয়েরি এবং ডাটা আলাদা রাখা হয়, এবং ডাটা শুধুমাত্র নির্দিষ্ট জায়গায় ইনপুট হিসেবে পাঠানো হয়। এটি ইনপুট ভ্যালিডেশন নিশ্চিত করে, যাতে SQL কোড হিসেবে কাজ না করে।
PDO ব্যবহার করে SQL Injection প্রতিরোধের জন্য প্রস্তুত স্টেটমেন্টের উদাহরণ:
<?php
// PDO দিয়ে MySQL ডাটাবেসে সংযোগ
$servername = "localhost";
$username = "root";
$password = "";
$dbname = "test_db";
// PDO সংযোগ তৈরি
try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
// স্টেটমেন্ট প্রস্তুত করা
$stmt = $conn->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
// ইনপুট ভ্যালুগুলো বাইন্ড করা
$stmt->bindParam(':username', $_POST['username'], PDO::PARAM_STR);
$stmt->bindParam(':password', $_POST['password'], PDO::PARAM_STR);
// স্টেটমেন্ট এক্সিকিউট করা
$stmt->execute();
// ফলাফল পাওয়ার পর
$result = $stmt->fetch(PDO::FETCH_ASSOC);
if ($result) {
echo "User found!";
} else {
echo "Invalid credentials.";
}
} catch(PDOException $e) {
echo "Error: " . $e->getMessage();
}
?>
এখানে:
:usernameএবং:passwordনামের প্যারামিটার বাইন্ড করা হয়েছে, যাতে ব্যবহারকারীর ইনপুট সরাসরি SQL কোড হিসেবে ইনজেক্ট না হতে পারে।bindParamফাংশন ইনপুট ডেটাকে সঠিকভাবে নিরাপদভাবে বাইন্ড করে।
1.2 MySQLi দিয়ে Prepared Statements
<?php
// MySQLi দিয়ে সংযোগ
$conn = new mysqli("localhost", "root", "", "test_db");
// চেক করা সংযোগ সফল কিনা
if ($conn->connect_error) {
die("Connection failed: " . $conn->connect_error);
}
// প্রিপেয়ারড স্টেটমেন্ট তৈরি
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $_POST['username'], $_POST['password']); // ss - String টাইপ প্যারামিটার
// স্টেটমেন্ট এক্সিকিউট করা
$stmt->execute();
$result = $stmt->get_result();
// ফলাফল প্রক্রিয়া করা
if ($result->num_rows > 0) {
echo "User found!";
} else {
echo "Invalid credentials.";
}
$stmt->close();
$conn->close();
?>
এখানে:
?ব্যবহার করা হয়েছে, যা ইনপুট ভ্যালুকে প্যারামিটার হিসেবে গ্রহণ করে, ফলে SQL কোডের সাথে মিশে যাওয়ার কোনো সম্ভাবনা থাকে না।bind_paramমেথড দিয়ে ইনপুট ভ্যালুগুলো বাইন্ড করা হয়েছে।
2. XSS (Cross-Site Scripting) প্রতিরোধ
XSS আক্রমণটি ব্যবহারকারীর ইনপুট বা ডাটা ব্যবহার করে স্ক্রিপ্ট ইনজেক্ট করার মাধ্যমে ওয়েব পেজে ম্যালিশিয়াস কোড চালাতে পারে, যা ব্যবহারকারীর ব্রাউজার থেকে তথ্য চুরি করতে পারে অথবা সেশন হাইজ্যাকিং করতে পারে।
2.1 HTML Escaping
যখন আপনি ব্যবহারকারীর ইনপুট ওয়েব পেজে প্রদর্শন করবেন, তখন ইনপুটটিকে সঠিকভাবে escape করা উচিত যাতে ম্যালিশিয়াস স্ক্রিপ্ট কার্যকরী না হয়। এটি করার জন্য htmlspecialchars() ফাংশন ব্যবহার করা যেতে পারে, যা ইনপুটে থাকা স্পেশাল ক্যারেক্টারগুলো যেমন <, >, &, " ইত্যাদি নিরাপদভাবে escape করে।
<?php
// ব্যবহারকারীর ইনপুটকে নিরাপদভাবে প্রিন্ট করা
$user_input = $_POST['user_input'];
$safe_input = htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');
echo "User Input: " . $safe_input;
?>
এখানে:
htmlspecialchars()ব্যবহার করে ইনপুটের বিশেষ চিহ্নগুলো escape করা হয়েছে যাতে তারা HTML কোড হিসেবে রেন্ডার না হয়ে যায় এবং স্ক্রিপ্ট এক্সিকিউট না হয়।
2.2 Content Security Policy (CSP)
CSP একটি ওয়েব সিকিউরিটি স্ট্যান্ডার্ড যা XSS আক্রমণ প্রতিরোধ করতে সাহায্য করে। এটি ওয়েব ব্রাউজারকে বলে দেয়, কোন সোর্স থেকে স্ক্রিপ্ট বা স্টাইল শীট লোড করা যাবে এবং কোন স্ক্রিপ্টের প্রবেশাধিকার থাকবে।
CSP Header Example:
<?php
// CSP হেডার সেট করা
header("Content-Security-Policy: default-src 'self'; script-src 'self' https://trustedscripts.example.com;");
?>
এখানে:
default-src 'self'দ্বারা শুধুমাত্র বর্তমান ডোমেইন থেকে কন্টেন্ট লোডের অনুমতি দেওয়া হয়েছে।script-src 'self' https://trustedscripts.example.comদ্বারা কেবলমাত্র নির্দিষ্ট উৎস থেকে স্ক্রিপ্ট লোড করার অনুমতি দেওয়া হয়েছে।
3. Sanitizing User Input
যেকোনো ব্যবহারকারীর ইনপুট, বিশেষ করে ফর্ম ডাটা, সঠিকভাবে sanitize করা উচিত। PHP তে filter_var() ফাংশন দিয়ে ইনপুট স্যানিটাইজ করা যেতে পারে।
3.1 Sanitize Email Input
<?php
$email = $_POST['email'];
$sanitized_email = filter_var($email, FILTER_SANITIZE_EMAIL);
echo "Sanitized Email: " . $sanitized_email;
?>
এখানে:
FILTER_SANITIZE_EMAILব্যবহার করা হয়েছে, যা ইনপুট ইমেইল থেকে অবাঞ্ছিত চরিত্রগুলো সরিয়ে ফেলবে।
3.2 Sanitize URL Input
<?php
$url = $_POST['url'];
$sanitized_url = filter_var($url, FILTER_SANITIZE_URL);
echo "Sanitized URL: " . $sanitized_url;
?>
এখানে:
FILTER_SANITIZE_URLব্যবহার করা হয়েছে, যা ইউআরএল ইনপুট থেকে অবাঞ্ছিত চরিত্রগুলো সরিয়ে ফেলবে।
সারাংশ
SQL Injection এবং XSS আক্রমণ প্রতিরোধ করার জন্য বিভিন্ন কৌশল রয়েছে।
- Prepared Statements ব্যবহার করে SQL Injection থেকে রক্ষা পাওয়া যায়, যেখানে SQL কোড এবং ব্যবহারকারীর ইনপুট আলাদা রাখা হয়।
- HTML Escaping এবং CSP ব্যবহার করে XSS আক্রমণ থেকে রক্ষা পাওয়া যায়, যাতে ম্যালিশিয়াস স্ক্রিপ্ট কার্যকরী না হয়।
- ব্যবহারকারীর ইনপুট স্যানিটাইজ করার মাধ্যমে এই ধরনের আক্রমণ রোধ করা যায়।
এই নিরাপত্তা কৌশলগুলি বাস্তবায়ন করলে ওয়েব অ্যাপ্লিকেশনকে নিরাপদ রাখা সম্ভব এবং আক্রমণকারীদের ক্ষতিকারক কোড ইনজেক্ট করার সুযোগ কমে যাবে।
Read more
