ইনপুট ভ্যালিডেশন এবং স্যানিটাইজেশন

Web Development - ওয়েব ডেভেলপার্স (Web Developers Guide) - সিকিউরিটি বেস্ট প্র্যাকটিস

228

ইনপুট ভ্যালিডেশন (Input Validation) কি?

ইনপুট ভ্যালিডেশন হল একটি প্রক্রিয়া যা ওয়েব অ্যাপ্লিকেশন বা ওয়েবসাইটে ব্যবহারকারীদের দ্বারা প্রদান করা ডেটার সঠিকতা, মান এবং নিরাপত্তা নিশ্চিত করতে ব্যবহৃত হয়। এটি নিশ্চিত করে যে ব্যবহারকারী যে ইনপুট দিচ্ছেন তা নির্দিষ্ট শর্ত বা নিয়ম অনুসরণ করছে। ইনপুট ভ্যালিডেশন মূলত সার্ভার এবং ক্লায়েন্ট সাইডে করা যায়, তবে একে দুটি স্তরে করা উচিত যাতে নিরাপত্তা এবং ডেটার নির্ভুলতা নিশ্চিত করা যায়।

ইনপুট ভ্যালিডেশনের উদ্দেশ্য:

নিরাপত্তা নিশ্চিত করা: ইনপুট ভ্যালিডেশন হ্যাকারদের আক্রমণ (যেমন SQL ইনজেকশন, ক্রস-সাইট স্ক্রিপটিং বা XSS) থেকে রক্ষা করতে সাহায্য করে।
ডেটা সঠিকতা: এটি নিশ্চিত করে যে ব্যবহারকারীর ইনপুট সঠিক এবং প্রত্যাশিত আকারে আছে।
ভুল ইনপুট এড়ানো: এটি ভুল বা অবাঞ্ছিত ইনপুট (যেমন অপ্রত্যাশিত ডেটা টাইপ বা খালি ফিল্ড) আটকাতে সহায়তা করে।

ইনপুট ভ্যালিডেশন কিভাবে করা হয়?

১. ক্লায়েন্ট সাইড ভ্যালিডেশন (Client-Side Validation):

ক্লায়েন্ট সাইড ভ্যালিডেশন সাধারণত JavaScript ব্যবহার করে করা হয় এবং ব্যবহারকারীর ইনপুটটি সার্ভারে পাঠানোর আগে পরীক্ষা করা হয়। এটি ব্যবহারকারীকে দ্রুত ফিডব্যাক প্রদান করে, তবে শুধুমাত্র ক্লায়েন্ট সাইড ভ্যালিডেশন ব্যবহার নিরাপদ নয়, কারণ ব্যবহারকারী ক্লায়েন্ট সাইড স্ক্রিপ্টিং অবসান করতে পারে।

উদাহরণ:

<form id="myForm" onsubmit="return validateForm()">
    <label for="username">Username:</label>
    <input type="text" id="username" name="username">
    <input type="submit" value="Submit">
</form>

<script>
function validateForm() {
    let username = document.getElementById("username").value;
    if (username == "") {
        alert("Username must be filled out");
        return false;
    }
    return true;
}
</script>

এখানে, JavaScript ব্যবহার করে ফর্ম সাবমিটের আগে username ফিল্ডটি খালি আছে কিনা পরীক্ষা করা হয়েছে।

২. সার্ভার সাইড ভ্যালিডেশন (Server-Side Validation):

সার্ভার সাইড ভ্যালিডেশন সাধারণত PHP, Node.js, Python, বা অন্যান্য সার্ভার সাইড ভাষা ব্যবহার করে করা হয়। ক্লায়েন্ট সাইড ভ্যালিডেশন থেকে নিরাপদ, কারণ এটি ব্যবহারকারীর পক্ষ থেকে পরিবর্তিত করা সম্ভব নয়। সার্ভার সাইড ভ্যালিডেশন সবসময় নিশ্চিত করে যে ইনপুট সঠিক এবং নিরাপদ।

উদাহরণ (PHP):

<?php
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    $username = $_POST['username'];
    if (empty($username)) {
        echo "Username is required";
    } else {
        echo "Username: " . htmlspecialchars($username);
    }
}
?>
<form method="post" action="<?php echo $_SERVER['PHP_SELF'];?>">
    Username: <input type="text" name="username">
    <input type="submit">
</form>

এখানে, PHP দিয়ে ইনপুট ভ্যালিডেশন করা হয়েছে এবং ব্যবহারকারীর ইনপুট স্যানিটাইজ (sanitize) করা হয়েছে htmlspecialchars() ফাংশন ব্যবহার করে।

ইনপুট স্যানিটাইজেশন (Input Sanitization) কি?

ইনপুট স্যানিটাইজেশন হল একটি প্রক্রিয়া যেখানে ব্যবহারকারীর ইনপুট থেকে অবাঞ্ছিত বা বিপজ্জনক অংশ অপসারণ করা হয়। এটি ইনপুট ভ্যালিডেশনের পরবর্তী ধাপ, যা ইনপুটে থাকা ক্ষতিকারক কোড বা চরিত্র যেমন HTML, JavaScript বা SQL কোডের অংশ সাফ করে, যাতে তা অ্যাপ্লিকেশনে অপ্রত্যাশিত আচরণ বা আক্রমণ সৃষ্টি না করে।

স্যানিটাইজেশন কীভাবে কাজ করে?

HTML Entity Encoding: এটি ব্যবহারকারীর ইনপুটে থাকা HTML বা JavaScript কোডকে কোডেড আকারে পরিণত করে, যেমন < কে < এ রূপান্তরিত করা।
SQL Injection থেকে রক্ষা: SQL ইনপুটের মাধ্যমে অবৈধ কোড ইনজেকশন রোধ করার জন্য ইনপুট স্যানিটাইজ করা হয়।
XSS (Cross-Site Scripting) থেকে রক্ষা: XSS আক্রমণের মাধ্যমে স্ক্রিপ্ট কোড ইনজেকশন রোধ করতে স্যানিটাইজেশন করা হয়।

ইনপুট স্যানিটাইজেশনের উদাহরণ:

JavaScript উদাহরণ:

function sanitizeInput(input) {
    return input.replace(/</g, "<").replace(/>/g, ">");
}

let userInput = "<script>alert('Hacked!');</script>";
let sanitizedInput = sanitizeInput(userInput);
console.log(sanitizedInput);  // Output: <script>alert('Hacked!');</script>

এখানে, sanitizeInput() ফাংশন ব্যবহারকারীর ইনপুটের মধ্যে < এবং > চিহ্নকে HTML এনটিটি < এবং > তে রূপান্তরিত করেছে, যা XSS আক্রমণ আটকাতে সাহায্য করবে।