CodeIgniter - सुरक्षा
एक्सएसएस रोकथाम
XSS का मतलब होता है क्रॉस-साइट स्क्रिप्टिंग। CodeIgniter XSS फ़िल्टरिंग सुरक्षा के साथ आता है। यह फ़िल्टर किसी भी दुर्भावनापूर्ण जावास्क्रिप्ट कोड या किसी भी अन्य कोड को रोक देगा जो कुकी को अपहृत करने और दुर्भावनापूर्ण गतिविधियों को करने का प्रयास करता है। XSS फ़िल्टर के माध्यम से डेटा फ़िल्टर करने के लिए, का उपयोग करेंxss_clean() नीचे दिखाए अनुसार विधि।
$data = $this->security->xss_clean($data);
आपको इस फ़ंक्शन का उपयोग केवल तभी करना चाहिए जब आप डेटा सबमिट कर रहे हों। वैकल्पिक दूसरा बुलियन पैरामीटर का उपयोग XSS हमले के लिए छवि फ़ाइल की जांच के लिए भी किया जा सकता है। यह फ़ाइल अपलोड सुविधा के लिए उपयोगी है। यदि इसका मान सत्य है, तो इसका मतलब है कि छवि सुरक्षित है और अन्यथा नहीं।
एसक्यूएल इंजेक्शन रोकथाम
SQL इंजेक्शन डेटाबेस क्वेरी पर किया गया एक हमला है। PHP में, हम उपयोग कर रहे हैंmysql_real_escape_string() अन्य तकनीकों के साथ-साथ इसे रोकने के लिए कार्य करता है लेकिन कोडइग्निटर इसे रोकने के लिए इनबिल्ट फ़ंक्शंस और लाइब्रेरी प्रदान करता है।
हम निम्नलिखित तीन तरीकों से CodeIgniter में SQL इंजेक्शन को रोक सकते हैं -
- बचते हुए प्रश्न
- क्वेरी बाइंडिंग
- सक्रिय रिकॉर्ड क्लास
बचते हुए प्रश्न
<?php
$username = $this->input->post('username');
$query = 'SELECT * FROM subscribers_tbl WHERE user_name = '.
$this->db->escape($email);
$this->db->query($query);
?>
$this->db->escape() फ़ंक्शन स्वचालित रूप से डेटा के चारों ओर एकल उद्धरण जोड़ता है और डेटा प्रकार को निर्धारित करता है ताकि यह केवल स्ट्रिंग डेटा से बच सके।
क्वेरी बाइंडिंग
<?php
$sql = "SELECT * FROM some_table WHERE id = ? AND status = ? AND author = ?";
$this->db->query($sql, array(3, 'live', 'Rick'));
?>
उपरोक्त उदाहरण में, प्रश्न चिह्न (?) को क्वेरी के दूसरे पैरामीटर () फ़ंक्शन में सरणी द्वारा प्रतिस्थापित किया जाएगा। इस तरह से क्वेरी बनाने का मुख्य लाभ यह है कि वे मान स्वतः बच जाते हैं जो सुरक्षित प्रश्न उत्पन्न करते हैं। CodeIgniter इंजन आपके लिए यह स्वचालित रूप से करता है, इसलिए आपको इसे याद रखने की आवश्यकता नहीं है।
सक्रिय रिकॉर्ड क्लास
<?php
$this->db->get_where('subscribers_tbl',array
('status'=> active','email' => '[email protected]'));
?>
सक्रिय रिकॉर्ड का उपयोग करते हुए, प्रत्येक डेटाबेस एडेप्टर द्वारा क्वेरी सिंटैक्स उत्पन्न किया जाता है। यह सुरक्षित प्रश्नों को भी अनुमति देता है, क्योंकि मान स्वचालित रूप से बच जाते हैं।
PHP त्रुटियाँ छिपा रहा है
उत्पादन परिवेश में, हम अक्सर उपयोगकर्ताओं को कोई त्रुटि संदेश प्रदर्शित नहीं करना चाहते हैं। डिबगिंग उद्देश्यों के लिए इसे विकास के माहौल में सक्षम किया जाए तो अच्छा है। इन त्रुटि संदेशों में कुछ जानकारी हो सकती है, जिसे हमें सुरक्षा कारणों से साइट उपयोगकर्ताओं को नहीं दिखाना चाहिए।
त्रुटियों से संबंधित तीन CodeIgniter फाइलें हैं।
PHP त्रुटि रिपोर्टिंग स्तर
विभिन्न वातावरण में त्रुटि रिपोर्टिंग के विभिन्न स्तरों की आवश्यकता होती है। डिफ़ॉल्ट रूप से, विकास त्रुटियों को दिखाएगा लेकिन परीक्षण और लाइव उन्हें छिपाएंगे। नामक एक फाइल हैindex.phpCodeIgniter की रूट डायरेक्टरी में, जिसका उपयोग इस उद्देश्य के लिए किया जाता है। यदि हम शून्य को तर्क के रूप में पास करते हैंerror_reporting() फ़ंक्शन तब सभी त्रुटियों को छिपाएगा।
डाटाबेस त्रुटि
भले ही आपने PHP त्रुटियों को बंद कर दिया हो, MySQL त्रुटियाँ अभी भी खुली हैं। आप इसे बंद कर सकते हैंapplication/config/database.php। ठीकdb_debug में विकल्प $db के लिए सरणी FALSE जैसा की नीचे दिखाया गया।
$db['default']['db_debug'] = FALSE;
त्रुटि संग्रह
फ़ाइलों को लॉग करने के लिए त्रुटियों को स्थानांतरित करने का एक और तरीका है। तो, यह साइट पर उपयोगकर्ताओं को प्रदर्शित नहीं किया जाएगा। बस, सेटlog_threshold में मूल्य $config सरणी में 1 से application/cofig/config.php नीचे दिखाए अनुसार।
$config['log_threshold'] = 1;
सीएसआरएफ रोकथाम
CSRF का उद्देश्य क्रॉस-साइट अनुरोध जालसाजी है। आप इसे सक्षम करके इस हमले को रोक सकते हैंapplication/config/config.php नीचे दिखाए अनुसार।
$config['csrf_protection'] = TRUE;
जब आप फार्म का उपयोग कर बना रहे हैं form_open()फ़ंक्शन, यह स्वचालित रूप से छिपे हुए क्षेत्र के रूप में एक सीएसआरएफ सम्मिलित करेगा। आप मैन्युअल रूप से CSRF का उपयोग करके भी जोड़ सकते हैंget_csrf_token_name() तथा get_csrf_hash()समारोह। get_csrf_token_name() फ़ंक्शन CSRF का नाम लौटाएगा और get_csrf_hash() CSRF का हैश मान लौटाएगा।
CSRF टोकन को हर बार जमा करने के लिए पुनर्जीवित किया जा सकता है या आप इसे CSRF कुकी के जीवन भर भी रख सकते हैं। मान सेट करकेTRUE, कुंजी के साथ विन्यास सरणी में ‘csrf_regenerate’ नीचे दिखाए अनुसार टोकन पुनः प्राप्त करेगा।
$config['csrf_regenerate'] = TRUE;
आप कुंजी का उपयोग करके इसे कॉन्फ़िगरेशन सरणी में सेट करके CSRF सुरक्षा से URL को श्वेतसूची में भी बदल सकते हैं ‘csrf_exclude_uris’जैसा की नीचे दिखाया गया। आप नियमित अभिव्यक्ति का उपयोग भी कर सकते हैं।
$config['csrf_exclude_uris'] = array('api/person/add');
पासवर्ड से निपटने
कई डेवलपर्स को वेब एप्लिकेशन में पासवर्ड को संभालने का तरीका नहीं पता है, यही वजह है कि कई हैकर्स को सिस्टम में तोड़ना इतना आसान लगता है। पासवर्ड संभालते समय निम्नलिखित बातों का ध्यान रखना चाहिए -
सादे-पाठ प्रारूप में पासवर्ड स्टोर न करें।
हमेशा अपने पासवर्ड हैश करें।
पासवर्ड संग्रहीत करने के लिए Base64 या समान एन्कोडिंग का उपयोग न करें।
MD5 या SHA1 जैसे कमजोर या टूटे हैशिंग एल्गोरिदम का उपयोग न करें। केवल BCrypt जैसे मजबूत पासवर्ड हैशिंग एल्गोरिदम का उपयोग करें, जो PHP के अपने पासवर्ड हाशिंग कार्यों में उपयोग किया जाता है।
सादे-पाठ प्रारूप में कभी भी पासवर्ड न दिखाएँ या न भेजें।
अपने उपयोगकर्ताओं के पासवर्ड पर अनावश्यक सीमाएँ न डालें।