PHP তে unserialize() ফাংশনটি একটি স্ট্রিং ডেটা পুনরায় PHP অবজেক্ট বা অ্যারের মধ্যে রূপান্তর করার জন্য ব্যবহৃত হয়। এটি সাধারণত স্টোরেজ বা সেশনে ডেটা পুনরুদ্ধার করতে ব্যবহৃত হয়। তবে, unserialize() ব্যবহারে কিছু নিরাপত্তা ঝুঁকি থাকতে পারে, বিশেষ করে যদি আপনি অবিশ্বাস্য বা আক্রমণকারী উৎস থেকে ডেটা আনসিরিয়ালাইজ করতে থাকেন।
যেহেতু unserialize() ফাংশনটি অবজেক্ট ইনজেকশন বা ক্লাস ম্যানিপুলেশন আক্রমণগুলিকে সহ্য করতে পারে, সুতরাং এটি নিরাপত্তা সম্পর্কে সচেতনভাবে ব্যবহৃত হওয়া উচিত।
unserialize() এর নিরাপত্তা ঝুঁকি
- অবজেক্ট ইনজেকশন (Object Injection):
অবিশ্বাস্য বা অপূর্ণাঙ্গ ডেটা গ্রহণ করার মাধ্যমে আক্রমণকারী একটি অবজেক্ট ইনজেক্ট করতে পারে যা কোডের নিরাপত্তা ক্ষতিগ্রস্ত করে। এতে, আক্রমণকারী ক্লাসের পদ্ধতিতে অ্যাক্সেস পেতে পারে যা ম্যালিসিয়াস কার্যকলাপ যেমন ফাইল ব্যবস্থাপনা বা ডাটাবেস ক্রিয়াকলাপকে প্ররোচিত করতে পারে। - ক্লাস ম্যানিপুলেশন:
অবজেক্ট ইনজেকশন আক্রমণকারীদের জন্য এটি একটি সুযোগ প্রদান করে যাতে তারা কোডের ব্যবহৃত ক্লাসের আচরণ পরিবর্তন করতে পারে, অথবা তারা প্রোগ্রামিংয়ের নির্দিষ্ট জায়গায় অবৈধ কার্যক্রম চালাতে পারে।
unserialize() ফাংশনের নিরাপত্তা উন্নয়ন
allowed_classesপ্যারামিটার ব্যবহার করা:
PHP 7.0.0 থেকে,unserialize()ফাংশনে একটিallowed_classesপ্যারামিটার যোগ করা হয়েছে, যা নিরাপত্তা বৃদ্ধি করতে সহায়ক। এই প্যারামিটারটি ব্যবহার করে আপনি কী কী ক্লাস ডেটার মাধ্যমে পুনরুদ্ধার করা যাবে তা সীমাবদ্ধ করতে পারেন।allowed_classesপ্যারামিটারটিfalseকরলে, সমস্ত ক্লাস ইনজেকশন নিষিদ্ধ হবে।- আপনি নির্দিষ্ট ক্লাসের নাম বা একটি ক্লাসের অ্যারে প্রদান করে শুধুমাত্র সেগুলিকেই পুনরুদ্ধার করতে পারবেন।
উদাহরণ: allowed_classes ব্যবহার
<?php
$data = 'O:8:"MyClass":1:{s:4:"name";s:5:"test";}';
$unserializedData = unserialize($data, ["allowed_classes" => ["MyClass"]]);
// `MyClass` ছাড়া কোনো ক্লাস যদি ডেটা থেকে পুনরুদ্ধার করা হয় তবে সেটি বাধা দেবে
print_r($unserializedData);
?>এখানে, শুধুমাত্র MyClass ক্লাসের ডেটা unserialize() ফাংশনে পুনরুদ্ধার করা যাবে, অন্য কোনো ক্লাস ইনজেক্ট করা হলে তা নিষিদ্ধ হবে।
@অপারেটর ব্যবহার করা এড়ানো:
কখনোই@অপারেটর ব্যবহার করেunserialize()ফাংশনের ত্রুটিগুলি চাপুন না। এটি আক্রমণকারীদের জন্য ত্রুটি লুকানোর সুযোগ সৃষ্টি করে এবং আক্রমণটি সফল হতে পারে। এর পরিবর্তে, ত্রুটি সঠিকভাবে হ্যান্ডল করা উচিত।- নির্ভরযোগ্য উৎস থেকে ডেটা:
ডেটা পুনরুদ্ধারের আগে নিশ্চিত করুন যে,unserialize()ফাংশনের জন্য প্রাপ্ত ডেটা একটি নির্ভরযোগ্য উৎস থেকে এসেছে। যদি ডেটা অবিশ্বাস্য হয়, তাহলে এটি সরাসরিunserialize()না করে, নিরাপদ একটি ভ্যালিডেশন পদ্ধতি ব্যবহার করুন। json_decode()ব্যবহার করা:
যদি আপনি নিরাপদভাবে স্ট্রিং ডেটাকে অবজেক্ট বা অ্যারে হিসেবে ব্যবহার করতে চান, তবেunserialize()এর পরিবর্তেjson_decode()ফাংশন ব্যবহার করুন, যা সাধারণত নিরাপদ এবং অপ্রত্যাশিত ক্লাস ইনজেকশন থেকে মুক্ত।
উদাহরণ: json_decode() ব্যবহার
<?php
$data = '{"name":"test"}';
$decodedData = json_decode($data, true);
print_r($decodedData); // আউটপুট হবে: Array ( [name] => test )
?>json_decode() ফাংশনটি সাধারণ স্ট্রিং ডেটাকে অ্যারে বা অবজেক্টে রূপান্তর করতে পারে, তবে এটি কোনো ক্লাস বা অবজেক্ট ইনজেকশন সমস্যা তৈরি করে না।
serialize()এর নিরাপদ ব্যবহার:
ডেটা পুনরুদ্ধারের সময়, সর্বদা এটি নিশ্চিত করুন যে আপনি সঠিকভাবেserialize()এর মাধ্যমে ডেটা তৈরি করেছেন এবং শুধুমাত্র নিরাপদ ডেটা ব্যবহার করছেন।is_object()বাis_array()চেক করা:
আপনি যদিunserialize()এর মাধ্যমে আনা ডেটার ধরন যাচাই করতে চান, তবেis_object()বাis_array()চেক ব্যবহার করে নিশ্চিত করতে পারেন যে, অবজেক্ট বা অ্যারে আনা হয়েছে।
উদাহরণ: is_object() বা is_array() ব্যবহার
<?php
$data = unserialize($input);
if (is_object($data)) {
// Handle the object safely
} else {
// Handle invalid or unexpected data
}
?>সারসংক্ষেপ
unserialize() ফাংশনটি PHP-তে একটি গুরুত্বপূর্ণ ফাংশন যা স্ট্রিং ডেটা পুনরায় অবজেক্ট বা অ্যারে আকারে রূপান্তর করতে ব্যবহৃত হয়। তবে, এটি নিরাপত্তা ঝুঁকি তৈরি করতে পারে, বিশেষত যখন অবিশ্বাস্য উৎস থেকে ডেটা পুনরুদ্ধার করা হয়। CSPRNG, অবজেক্ট ইনজেকশন, এবং ক্লাস ম্যানিপুলেশন আক্রমণগুলিকে এড়াতে, আপনি allowed_classes প্যারামিটার ব্যবহার করে নিরাপত্তা উন্নত করতে পারেন, এবং json_decode() এর মতো নিরাপদ পদ্ধতিও ব্যবহার করতে পারেন। unserialize() ব্যবহার করার সময় সর্বদা নিরাপত্তা নিশ্চিত করতে সঠিক ভ্যালিডেশন এবং ত্রুটি হ্যান্ডলিং পদ্ধতি অনুসরণ করা উচিত।
Read more
