SQL Injection হলো একটি নিরাপত্তা ত্রুটি যেখানে আক্রমণকারী ব্যবহারকারীর ইনপুটের মাধ্যমে ডাটাবেসের সাথে অবৈধ বা ক্ষতিকর SQL কোয়েরি চালানোর চেষ্টা করে। এটি ডাটাবেসের ডেটা চুরি, পরিবর্তন, বা মুছে ফেলার মতো ঝুঁকিপূর্ণ কাজ করতে পারে। SQL Injection প্রতিরোধে বিভিন্ন কৌশল অনুসরণ করা অত্যন্ত গুরুত্বপূর্ণ। নিচে এর প্রতিরোধের কার্যকর কৌশলগুলো আলোচনা করা হলো:
১. Prepared Statements এবং Parameterized Queries ব্যবহার করা
Prepared Statements ব্যবহার করলে SQL কোয়েরি এবং ব্যবহারকারীর ইনপুট আলাদা থাকে। এটি ইনপুটকে সরাসরি কোয়েরির অংশ হতে দেয় না, ফলে SQL Injection প্রতিরোধ হয়।
উদাহরণ (PHP এবং MySQL):
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $username, $password);
$stmt->execute();
$result = $stmt->get_result();
২. ইনপুট যাচাই এবং স্যানিটাইজ করা
ব্যবহারকারীর ইনপুট সরাসরি SQL কোয়েরিতে যুক্ত করার আগে যাচাই এবং স্যানিটাইজ করা উচিত। এটি ইনপুট থেকে ক্ষতিকর চরিত্রগুলো সরিয়ে ফেলে।
PHP ফাংশন ব্যবহার:
mysqli_real_escape_string()ইনজেকশন প্রতিরোধে সহায়তা করে।
$username = mysqli_real_escape_string($conn, $_POST['username']);
- HTML ইনপুট ফিল্ডের জন্য
filter_var()ব্যবহার:
$email = filter_var($_POST['email'], FILTER_SANITIZE_EMAIL);
৩. Stored Procedures ব্যবহার করা
Stored Procedures ব্যবহার করলে SQL কোয়েরির লজিক ডাটাবেসে সংরক্ষিত থাকে এবং ইনপুট আলাদাভাবে পাস হয়। এটি SQL Injection প্রতিরোধে কার্যকর।
উদাহরণ (MySQL Stored Procedure):
CREATE PROCEDURE GetUser(IN username VARCHAR(50))
BEGIN
SELECT * FROM users WHERE username = username;
END;
ব্যবহার (PHP):
$stmt = $conn->prepare("CALL GetUser(?)");
$stmt->bind_param("s", $username);
$stmt->execute();
৪. Least Privilege নীতি মেনে চলা
ডাটাবেস ব্যবহারকারীর জন্য সর্বনিম্ন প্রয়োজনীয় অনুমতি দিন।
- অ্যাপ্লিকেশন ব্যবহারকারীকে SELECT, INSERT, UPDATE, DELETE এর বেশি অনুমতি দেবেন না।
- DROP, ALTER, CREATE এর মতো অনুমতি শুধুমাত্র অ্যাডমিনের জন্য রাখুন।
৫. White-listing পদ্ধতি ব্যবহার করা
ইনপুটের জন্য শুধুমাত্র অনুমোদিত মান গ্রহণ করুন।
- সংখ্যা ইনপুটের ক্ষেত্রে
is_numeric()বাctype_digit()ব্যবহার করুন। - ইনপুট সীমাবদ্ধ করতে HTML ফর্মের
patternঅ্যাট্রিবিউট ব্যবহার করুন।
উদাহরণ:
if (!ctype_digit($_GET['id'])) {
die("Invalid ID");
}
৬. ডেটাবেস ত্রুটি বার্তা গোপন রাখা
ডাটাবেস ত্রুটি বার্তা প্রকাশ করলে আক্রমণকারী ডাটাবেস স্ট্রাকচার সম্পর্কে ধারণা পেতে পারে।
- Production Mode-এ ত্রুটি বার্তা প্রদর্শন এড়ান এবং একটি সাধারণ বার্তা দেখান।
উদাহরণ:
try {
// কোড
} catch (Exception $e) {
echo "An error occurred. Please try again later.";
}
৭. Web Application Firewall (WAF) ব্যবহার করা
WAF একটি নিরাপত্তা স্তর প্রদান করে যা SQL Injection আক্রমণ সনাক্ত করে এবং তা ব্লক করে।
উদাহরণ:
- Cloudflare
- AWS WAF
- ModSecurity
৮. ইনপুটের দৈর্ঘ্য সীমিত করা
ইনপুট ফিল্ডের সর্বোচ্চ দৈর্ঘ্য সীমাবদ্ধ করুন। এটি আক্রমণকারীর ইনপুট বড় করার সুযোগ কমায়।
উদাহরণ:
if (strlen($_POST['username']) > 50) {
die("Username is too long.");
}
৯. Dynamic SQL এড়ানো
Dynamic SQL (যেখানে কোয়েরি রানটাইমে তৈরি হয়) SQL Injection এর ঝুঁকি বাড়ায়। Dynamic SQL এড়িয়ে প্রস্তুত কোয়েরি (Prepared Statements) ব্যবহার করুন।
Dynamic SQL (বিপজ্জনক):
$query = "SELECT * FROM users WHERE username = '" . $_POST['username'] . "'";
Prepared Statement (নিরাপদ):
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ?");
১০. রেগুলার এক্সপ্রেশন (Regex) ব্যবহার করা
ইনপুট যাচাই করার জন্য রেগুলার এক্সপ্রেশন ব্যবহার করুন।
উদাহরণ:
if (!preg_match("/^[a-zA-Z0-9_]{5,20}$/", $_POST['username'])) {
die("Invalid username");
}
১১. SQL কমান্ড ব্লক করা
ডাটাবেস কনফিগারেশন ফাইল ব্যবহার করে স্পেসিফিক SQL কমান্ড নিষিদ্ধ করুন। উদাহরণস্বরূপ, DROP এবং ALTER ব্লক করা যেতে পারে।
সারাংশ
SQL Injection প্রতিরোধে একাধিক স্তরের সুরক্ষা ব্যবহার করা উচিত। ইনপুট যাচাই, Prepared Statements, Stored Procedures, এবং Firewall এর মতো কৌশল ব্যবহার করে SQL Injection এর ঝুঁকি অনেকাংশে কমানো সম্ভব। সঠিক নিরাপত্তা ব্যবস্থা নিশ্চিত করলে আপনার অ্যাপ্লিকেশন এবং ডাটাবেস উভয়ই সুরক্ষিত থাকবে।
Read more
