မြန်မာဘာသာ
မြန်မာဘာသာ
Web Development တွင်အသုံးပြုသော scripting language တစ်ခုအနေဖြင့် PHP သည် developer များကရိုးရိုးရှင်းရှင်းနှင့်ပြောင်းလွယ်ပြင်လွယ်များအတွက်ချစ်မြတ်နိုးသည်။ သို့သော်လုံခြုံရေးခွင့်ပြုချက်စီမံခန့်ခွဲမှုနှင့်ကာကွယ်မှုသည် PHP ဖွံ့ဖြိုးတိုးတက်မှုတွင်အဓိကပြ issues နာများထဲမှတစ်ခုဖြစ်သည်။ PHP Development တွင်လုံခြုံရေးခွင့်ပြုချက်စီမံခန့်ခွဲမှုနှင့်ကာကွယ်မှုကိုမည်သို့ဖြေရှင်းရန်နှင့်လက်တွေ့ကျကျဆိုင်ရာကျင့်ထုံးဥပမာများကိုအသေးစိတ်ဖော်ပြရန်ဤဆောင်းပါးတွင်အသေးစိတ်ဆွေးနွေးပါမည်။
ဒေတာဘေ့စ်များသည် PHP ဖွံ့ဖြိုးတိုးတက်မှုတွင်မရှိမဖြစ်လိုအပ်သောအစိတ်အပိုင်းတစ်ခုဖြစ်သည်။ ထို့ကြောင့်လုံခြုံရေးခွင့်ပြုချက်သည်ဒေတာဘေ့စ်များ၏စီမံခန့်ခွဲမှုစီမံခန့်ခွဲမှုသည်အလွန်အရေးကြီးသည်။ ဤတွင်အချို့သောထိရောက်သောအကြံပြုချက်များမှာ -
1 ။ အနိမ့်ဆုံးခွင့်ပြုချက်၏နိယာမကိုအသုံးပြုပါ။ ဒေတာဘေ့စ်တိုက်ခိုက်မှုများကိုလျှော့ချရန်လိုအပ်သည့်အတွက်လိုအပ်သောလုပ်ငန်းများကိုအနည်းဆုံးခွင့်ပြုထားသည်။
2 ။ Preprocessing ထုတ်ပြန်ချက်များကိုအသုံးပြုပါ။ ဥပမာအားဖြင့်, PDO ၏ပြင်ဆင်ခြင်းနှင့် Bindvalue နည်းလမ်းများကိုအောက်တွင်ဖော်ပြထားသည့်အတိုင်း Database စစ်ဆင်ရေးများပြုလုပ်ရန်အသုံးပြုပါ။
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username");
$stmt->bindValue(':username', $_POST['username']);
$stmt->execute();3 ။ အသုံးပြုသူ input ကို SQL query ထုတ်ပြန်ချက်များသို့တိုက်ရိုက်ရှောင်ရှားပါ။ input ကို filter လုပ်ရန် mySQLI_REAL_ESTAUT_STRING ကိုသင်အသုံးပြုနိုင်သည်။
4 ။ ဒေတာဘေ့စ်၏ပုံမှန်အရန်ကူးခြင်း - ဒေတာဘေ့စ်များ၏ပုံမှန်အရန်ကူးခြင်းသည်အချက်အလက်ဆုံးရှုံးမှုနှင့်ပြန်လည်ထူထောင်ရေးကိုကာကွယ်ရန်ထိရောက်သောနည်းလမ်းဖြစ်သည်။
PHP Development တွင်ဖိုင်အိတ်များသည်အလွန်အမင်းများများစားစားဖြစ်လေ့ရှိပြီးဖိုင်များ၏လုံခြုံရေးကိုကာကွယ်ခြင်းသည်အထူးသဖြင့်အရေးပါသည်။ ဤတွင်အကြံပြုထားသောအလေ့အကျင့်အချို့ကိုဤတွင်ဖော်ပြထားသည်။
1 ။ ဖိုင်ခွင့်ပြုချက်ကိုကန့်သတ်ထားသည်။ ယေဘုယျအားဖြင့် executable files များအတွက်ခွင့်ပြုချက် 755 ခုကိုသတ်မှတ်သင့်သည်။ Read-in-in-ons files များနှင့် configuration files များအတွက်ခွင့်ပြုချက် 644 ခုကိုသတ်မှတ်သင့်သည်။
2 ။ Directory Traversal တိုက်ခိုက်မှုများကိုကာကွယ်ခြင်း - directory traversal တိုက်ခိုက်မှုများသည် URL လမ်းကြောင်းများကိုပြုပြင်မွမ်းမံခြင်းဖြင့်ခွင့်ပြုချက်မရှိဘဲဖိုင်များကိုတိုက်ခိုက်သည်။ ထိုကဲ့သို့သောတိုက်ခိုက်မှုများကိုကာကွယ်ရန်, သင်သည်ဥပမာတစ်ခုအနေနှင့် realitpath function သို့မဟုတ် custom provicification function ကိုသုံးနိုင်သည်။
function validatePath($path) {
$path = realpath($path);
if ($path === false || strpos($path, __DIR__) !== 0) {
header("HTTP/1.1 403 Forbidden");
die('Forbidden');
}
}
validatePath($_GET['file']);3 ။ File Upload ကိုကန့်သတ်ထားပါ။ Uploading files can be judged and restricted by $_FILES['file']['type'] and $_FILES['file']['size'].
Session Management သည် PHP ဖွံ့ဖြိုးတိုးတက်မှု၏အရေးကြီးသောအပိုင်းဖြစ်သည်။ Session ၏လုံခြုံရေးကိုအသုံးပြုသူ authentication နှင့်ခွင့်ပြုချက်ထိန်းချုပ်မှုအတွက်အရေးပါသည်။ ဤတွင်အချို့သောဘုံလုံခြုံမှုအစီအမံအချို့ကိုဤတွင်:
1 ။ လုံခြုံစိတ်ချရသော session သိုလှောင်မှုကိုသုံးပါ။ session တစ်ခု၏ session data ပေါ်တွင် Session data ကိုသိမ်းထားပါ။
2 ။ SSL / TLS နှင့်ဆက်သွယ်မှုကိုစာဝှက်ပါ - session ပြန်ပေးဆွဲခြင်းသို့မဟုတ်ဒေတာခိုးယူမှုကိုတားဆီးရန် HTTPS စာဝှက်စနစ်ဖြင့် session data ကိုလွှဲပြောင်းပါ။
3 ။ Session Timeout ကိုသတ်မှတ်ပါ။ အချိန်အတန်ကြာလုပ်ဆောင်ခြင်းအပြီးတွင်လုပ်ငန်းစဉ်ကိုအချိန်အတန်ကြာရပ်ဆိုင်းခြင်းမပြုရန် session onout ကိုသေချာစွာသတ်မှတ်ပါ။
4 ။ လုံခြုံစိတ်ချရသော Session ID ကိုထုတ်ပေးပါ။ ၎င်းသည်ခန့်မှန်းရန်ခက်ခဲကြောင်းသေချာစေရန်အတွက်ကျပန်းနှင့်ထူးခြားမှုနှင့်အတူ session id ကိုထုတ်ပေးပါ။
Session Security ကိုစစ်ဆေးခြင်းအတွက်ရိုးရှင်းသောဥပမာကုဒ်ဖြစ်သည်။
session_start();
if (!isset($_SESSION['loggedin']) || $_SESSION['loggedin'] !== true) {
header("Location: login.php");
exit;
}အထက်ပါအစီအမံများကိုပြုလုပ်ခြင်းအားဖြင့်ကျွန်ုပ်တို့သည် PHP application များ၏လုံခြုံရေးကိုသိသိသာသာတိုးတက်စေပြီးခွင့်ပြုချက်စီမံခန့်ခွဲမှုနှင့်ကာကွယ်မှုဆိုင်ရာအလားအလာရှိသောအန္တရာယ်များကိုလျှော့ချနိုင်သည်။ PHP applications များ၏လုံခြုံရေးကိုသေချာစေရန် developer များသည်သင့်တင့်သောခွင့်ပြုချက်ထိန်းချုပ်မှု, ဖြည့်ခြင်းစစ်ထုတ်ခြင်း, အမှန်တကယ်စီမံကိန်းလိုအပ်ချက်များနှင့်အညီဆုံးဖြတ်ထားသည့်အကာအကွယ်ပေးမှုအစီအမံများကိုပြုလုပ်လိမ့်မည်။
