CakePHP - सुरक्षा

वेब एप्लिकेशन बनाते समय सुरक्षा एक अन्य महत्वपूर्ण विशेषता है। यह वेबसाइट के उपयोगकर्ताओं को आश्वस्त करता है कि, उनका डेटा सुरक्षित है। CakePHP आपके एप्लिकेशन को सुरक्षित करने के लिए कुछ उपकरण प्रदान करता है।

एन्क्रिप्शन और डिक्रिप्शन

CakePHP में सुरक्षा लाइब्रेरी के तरीके प्रदान करते हैं, जिसके द्वारा हम डेटा एन्क्रिप्ट और डिक्रिप्ट कर सकते हैं। निम्नलिखित दो विधियां हैं, जिनका उपयोग उसी उद्देश्य के लिए किया जाता है।

static Cake\Utility\Security::encrypt($text, $key, $hmacSalt = null)
static Cake\Utility\Security::decrypt($cipher, $key, $hmacSalt = null)

एन्क्रिप्शन विधि पाठ और कुंजी को डेटा एन्क्रिप्ट करने के तर्क के रूप में ले जाएगी और वापसी मूल्य एचएमएसी चेकसम के साथ एन्क्रिप्टेड मान होगा।

एक डेटा हैश करने के लिए, hash()विधि का उपयोग किया जाता है। निम्नलिखित हैश () पद्धति का वाक्य विन्यास है।

static Cake\Utility\Security::hash($string, $type = NULL, $salt = false)

CSRF

CSRF का मतलब है Cross Site Request Forgery। CSRF घटक सक्षम करके, आपको हमलों से सुरक्षा मिलती है। CSRF वेब अनुप्रयोगों में एक आम भेद्यता है।

यह एक हमलावर को पिछले अनुरोध पर कब्जा करने और फिर से चलाने की अनुमति देता है, और कभी-कभी अन्य डोमेन पर छवि टैग या संसाधनों का उपयोग करके डेटा अनुरोध सबमिट करता है। CSRF को केवल जोड़कर सक्षम किया जा सकता हैCsrfComponent अपने घटकों के सरणी के रूप में नीचे दिखाया गया है -

public function initialize(): void {
   parent::initialize();
   $this->loadComponent('Csrf');
}

CsrfComponent के साथ मूल एकीकृत करता है FormHelper। हर बार जब आप फॉर्महेल्पर के साथ एक फॉर्म बनाते हैं, तो यह एक छिपे हुए फ़ील्ड को सम्मिलित करेगा जिसमें CSRF टोकन होगा।

हालांकि यह अनुशंसित नहीं है, आप कुछ अनुरोधों पर CsrfComponent को अक्षम करना चाह सकते हैं। आप नियंत्रक इवेंट डिस्पैचर का उपयोग करके ऐसा कर सकते हैं, के दौरानbeforeFilter() तरीका।

public function beforeFilter(Event $event) {
   $this->eventManager()->off($this->Csrf);
}

सुरक्षा घटक

सिक्योरिटी कंपोनेंट आपके आवेदन के लिए सख्त सुरक्षा लागू करता है। यह विभिन्न कार्यों के लिए तरीके प्रदान करता है जैसे -

  • Restricting which HTTP methods your application accepts- साइड इफेक्ट्स निष्पादित करने से पहले, आपको हमेशा HTTP विधि को सत्यापित करना चाहिए। आपको HTTP विधि या जाँच का उपयोग करना चाहिएCake\Network\Request::allowMethod() सुनिश्चित करने के लिए सही HTTP विधि का उपयोग किया जाता है।

  • Form tampering protection- डिफ़ॉल्ट रूप से, SecurityComponent उपयोगकर्ताओं को विशिष्ट तरीकों से फ़ॉर्म के साथ छेड़छाड़ करने से रोकता है। SecurityComponent निम्नलिखित चीजों को रोक देगा -

    • अज्ञात फ़ील्ड्स को फ़ॉर्म में नहीं जोड़ा जा सकता है।

    • फ़ील्ड को प्रपत्र से हटाया नहीं जा सकता।

    • छिपे हुए इनपुट में मानों को संशोधित नहीं किया जा सकता है।

  • Requiring that SSL be used - SSL की आवश्यकता के लिए सभी क्रियाएं- सुरक्षित

  • Limiting cross controller communication- हम प्रतिबंधित कर सकते हैं कि कौन सा नियंत्रक इस नियंत्रक को अनुरोध भेज सकता है। हम यह भी प्रतिबंधित कर सकते हैं कि कौन सी क्रियाएं इस नियंत्रक की कार्रवाई के लिए अनुरोध भेज सकती हैं।

उदाहरण

में बदलाव करें config/routes.php निम्न कार्यक्रम में दिखाया गया है।

config/routes.php

<?php
use Cake\Http\Middleware\CsrfProtectionMiddleware;
use Cake\Routing\Route\DashedRoute;
use Cake\Routing\RouteBuilder;
$routes->setRouteClass(DashedRoute::class);
$routes->scope('/', function (RouteBuilder $builder) {
   $builder->registerMiddleware('csrf', new CsrfProtectionMiddleware([
      'httpOnly' => true,
   ]));
   $builder->applyMiddleware('csrf');
   //$builder->connect('/pages',
      ['controller'=>'Pages','action'=>'display', 'home']);
   $builder->connect('login',['controller'=>'Logins','action'=>'index']);
   $builder->fallbacks();
});

बनाओ LoginsController.php पर फ़ाइल करें src/Controller/LoginsController.php. नियंत्रक फ़ाइल में निम्न कोड की प्रतिलिपि बनाएँ।

src/Controller/LoginsController.php

<?php
   namespace App\Controller;
   use App\Controller\AppController;
   class LoginsController extends AppController {
      public function initialize() : void {
         parent::initialize();
         $this->loadComponent('Security');
      }
         public function index(){
      }
   }
?>

एक निर्देशिका बनाएँ Logins पर src/Template और उस निर्देशिका के तहत एक बनाएँ Viewindex.php नामक फाइल। उस फ़ाइल में निम्न कोड कॉपी करें।

src/Template/Logins/index.php

<?php
   echo $this->Form->create(NULL,array('url'=>'/login'));
   echo $this->Form->control('username');
   echo $this->Form->control('password');
   echo $this->Form->button('Submit');
   echo $this->Form->end();
?>

निम्न URL पर जाकर उपरोक्त उदाहरण देखें - http: // localhost / cakephp4 / login

उत्पादन

निष्पादन के बाद, आप निम्न आउटपुट प्राप्त करेंगे।