हैकर्स से अपनी PHP साइट को बचाने के लिए 6 आवश्यक सुरक्षा टिप्स

आपकी PHP साइट लॉन्च हो गई है। बधाई हो! लेकिन रुकिए .. क्या आपने आवश्यक सुरक्षा का ध्यान रखा है?


PHP एक हल्की लेकिन बहुत शक्तिशाली बैकएंड प्रोग्रामिंग भाषा है। यह वैश्विक वेब अनुप्रयोगों के लगभग 80% को शक्ति देता है, जिससे यह विकास की दुनिया में सबसे अधिक इस्तेमाल की जाने वाली भाषाओं में से एक है.

इसकी लोकप्रियता और व्यापक उपयोग का कारण इसकी आसान कोडिंग संरचना और डेवलपर के अनुकूल कार्य हैं। PHP के शीर्ष पर बहुत सारे CMS और चौखटे बने हैं और दुनिया भर के हजारों ज्ञात डेवलपर्स इसके समुदाय का एक नियमित हिस्सा हैं.

एक बेहतरीन उदाहरण वर्डप्रेस है.

जब लाइव सर्वर पर PHP एप्लिकेशन को तैनात किया जाता है, तो यह हैकिंग और वेब हमलों के कई उदाहरणों का सामना कर सकता है, जिससे इसकी साइट का डेटा चोरी होने का खतरा बना रहता है। यह समुदाय में सबसे अधिक बहस वाले विषयों में से एक है, कि परियोजना के सभी मुख्य उद्देश्यों को ध्यान में रखते हुए, पूरी तरह से सुरक्षित आवेदन कैसे बनाया जाए।.

अपने सर्वोत्तम प्रयासों के बावजूद, डेवलपर्स हमेशा छिपे हुए खामियों से सावधान रहते हैं जो किसी एप्लिकेशन को विकसित करते समय किसी का ध्यान नहीं जाता है। ये खामियां किसी भी साइट पर महत्वपूर्ण डेटा की सुरक्षा से गंभीरता से समझौता कर सकती हैं PHP MySQL के लिए वेब होस्टिंग एप्लिकेशन, उन्हें हैकिंग प्रयासों के लिए असुरक्षित छोड़ देते हैं.

इसलिए, यह लेख कुछ उपयोगी PHP सुरक्षा युक्तियों के बारे में है, जिनका उपयोग आप अपनी परियोजनाओं में समझदारी से कर सकते हैं। इन छोटे सुझावों का उपयोग करके, आप यह सुनिश्चित कर सकते हैं कि आपका आवेदन हमेशा सुरक्षा जांच पर अधिक खड़ा है और कभी भी किसी बाहरी वेब हमलों से समझौता नहीं करता है.

क्रॉस-साइट स्क्रिप्टिंग (XSS)

क्रॉस-साइट स्क्रिप्टिंग किसी भी दुर्भावनापूर्ण कोड या स्क्रिप्ट को वेबसाइट में इंजेक्ट करके किए गए सबसे खतरनाक बाहरी हमलों में से एक है। यह आपके एप्लिकेशन के कोर को प्रभावित कर सकता है, क्योंकि हैकर आपके आवेदन में किसी भी प्रकार के कोड को आपको संकेत दिए बिना भी इंजेक्ट कर सकता है। यह हमला ज्यादातर उन वेबसाइटों में होता है जो उपयोगकर्ता डेटा को स्वीकार करते हैं और जमा करते हैं.

एक XSS हमले में, इंजेक्शन कोड आपकी वेबसाइट के मूल कोड को बदल देता है, फिर भी एक वास्तविक कोड साइट प्रदर्शन को बाधित करने और अक्सर डेटा चोरी करने का काम करता है। हैकर्स आपके एप्लिकेशन के एक्सेस कंट्रोल को बायपास कर देते हैं, आपके कुकीज़, सत्र, इतिहास और अन्य महत्वपूर्ण कार्यों तक पहुंच प्राप्त करते हैं.

आप HTML विशेष वर्णों का उपयोग करके इस हमले का मुकाबला कर सकते हैं & अपने एप्लिकेशन कोड में ENT_QUOTES। ENT_QUOTES का उपयोग करके, आप एकल और दोहरे उद्धरण विकल्पों को हटा सकते हैं, जो आपको क्रॉस-साइट स्क्रिप्टिंग हमले की किसी भी संभावना को शुद्ध करने की अनुमति देता है.

क्रॉस-साइट अनुरोध क्षमा (CSRF)

CSRF ने किसी भी अवांछनीय कार्रवाई को करने के लिए हैकर्स को पूर्ण एप्लिकेशन नियंत्रण सौंप दिया। पूर्ण नियंत्रण के साथ, हैकर्स संक्रमित कोड को आपकी वेबसाइट पर स्थानांतरित करके दुर्भावनापूर्ण संचालन कर सकते हैं, जिसके परिणामस्वरूप डेटा चोरी, कार्यात्मक संशोधन आदि हो सकते हैं। हमला उपयोगकर्ताओं को अनजाने में धन हस्तांतरण करने की तरह, बदल गए विनाशकारी लोगों के लिए पारंपरिक अनुरोधों को बदलने के लिए मजबूर करता है। किसी भी अधिसूचना के बिना पूरे डेटाबेस, आदि.

CSRF हमला केवल तभी शुरू किया जा सकता है जब आप हैकर द्वारा भेजी गई दुर्भावनापूर्ण लिंक पर क्लिक करते हैं। इसका मतलब है कि यदि आप संक्रमित छिपी हुई लिपियों का पता लगाने के लिए पर्याप्त स्मार्ट हैं, तो आप आसानी से किसी भी संभावित सीएसआरएफ हमले को नियंत्रित कर सकते हैं। इस बीच, आप अपनी ऐप सुरक्षा को मजबूत करने के लिए दो सुरक्षात्मक उपायों का भी उपयोग कर सकते हैं, अर्थात् अपने URL में GET अनुरोधों का उपयोग करके और अपने ग्राहक-पक्ष कोड से उत्पन्न गैर-GET अनुरोधों को सुनिश्चित करना।.

सत्र अपहरण

सत्र अपहरण एक ऐसा हमला है जिसके माध्यम से हैकर आपकी सत्र आईडी चुरा लेता है ताकि वह इच्छित खाते तक पहुंच बना सके। उस सत्र आईडी का उपयोग करते हुए, हैकर सर्वर को एक अनुरोध भेजकर आपके सत्र को मान्य कर सकता है, जहां $ _SESSION सरणी आपके ज्ञान को ध्यान में रखे बिना अपने अपटाइम को मान्य करती है। यह एक XSS हमले के माध्यम से या डेटा को एक्सेस करके किया जा सकता है जहां सत्र डेटा संग्रहीत किया जाता है.

सत्र अपहरण को रोकने के लिए, हमेशा अपने सत्रों को अपने वास्तविक आईपी पते पर बाँधें। जब भी कोई अज्ञात उल्लंघन होता है, तो यह अभ्यास आपको सत्रों को अमान्य करने में मदद करता है, आपको तुरंत बता देता है कि कोई व्यक्ति आपके सत्र को एप्लिकेशन के एक्सेस नियंत्रण को प्राप्त करने के लिए बायपास करने का प्रयास कर रहा है। और हमेशा याद रखें, किसी भी परिस्थिति में आईडी को उजागर नहीं करना, क्योंकि यह बाद में किसी अन्य हमले के साथ आपकी पहचान से समझौता कर सकता है.

SQL इंजेक्शन हमलों को रोकें

डेटाबेस एक एप्लिकेशन के प्रमुख घटकों में से एक है जो ज्यादातर SQL इंजेक्शन हमले के माध्यम से हैकर्स द्वारा लक्षित होता है। यह एक प्रकार का हमला है जिसमें हैकर डेटाबेस तक पहुंचने के लिए विशेष URL मापदंडों का उपयोग करता है। हमला वेब फॉर्म फ़ील्ड का उपयोग करके भी किया जा सकता है, जहां हैकर उन डेटा को बदल सकता है जो आप प्रश्नों से गुजर रहे हैं। उन फ़ील्ड और प्रश्नों को बदलकर, हैकर आपके डेटाबेस पर नियंत्रण पा सकता है और कई विनाशकारी जोड़तोड़ कर सकता है, जिसमें संपूर्ण एप्लिकेशन डेटाबेस को हटाना शामिल है.

SQL इंजेक्शन हमलों को रोकने के लिए, यह हमेशा पैरामीटर प्रश्नों का उपयोग करने की सलाह दी जाती है। यह PDO क्वेरी SQL क्वेरी को चलाने से पहले तर्कों को ठीक से प्रतिस्थापित करती है, SQL इंजेक्शन के हमले की किसी भी संभावना को प्रभावी ढंग से खारिज करती है। यह अभ्यास न केवल आपको अपने SQL प्रश्नों को सुरक्षित करने में मदद करता है, बल्कि उन्हें कुशल प्रसंस्करण के लिए संरचित भी बनाता है.

हमेशा SSL प्रमाणपत्र का उपयोग करें

इंटरनेट पर एंड-टू-एंड सुरक्षित डेटा ट्रांसमिशन प्राप्त करने के लिए, अपने अनुप्रयोगों में हमेशा एसएसएल प्रमाणपत्र का उपयोग करें। यह एक विश्व स्तर पर मान्यता प्राप्त मानक प्रोटोकॉल है जिसे हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल (HTTPS) के रूप में जाना जाता है जो सर्वरों के बीच सुरक्षित रूप से डेटा संचारित करता है। SSL प्रमाणपत्र का उपयोग करने से, आपके एप्लिकेशन को सुरक्षित डेटा ट्रांसफ़र मार्ग मिल जाता है, जो आपके सर्वर पर हैकर्स के लिए घुसपैठ करना लगभग असंभव बना देता है.

Google Chrome, Safari, Firefox, Opera, और अन्य सभी प्रमुख वेब ब्राउज़र एक SSL प्रमाणपत्र का उपयोग करने की सलाह देते हैं, क्योंकि यह इंटरनेट पर डेटा संचारित, प्राप्त करने और डिक्रिप्ट करने के लिए एक एन्क्रिप्टेड प्रोटोकॉल प्रदान करता है।.

ब्राउज़र से फ़ाइलें छिपाएँ

माइक्रो PHP फ्रेमवर्क में एक विशिष्ट निर्देशिका संरचना है, जो नियंत्रक, मॉडल, कॉन्फ़िगरेशन फ़ाइल (.yaml), आदि जैसे महत्वपूर्ण फ्रेमवर्क फ़ाइलों के भंडारण को सुनिश्चित करती है।.

अधिकांश समय, ये फ़ाइलें ब्राउज़र द्वारा संसाधित नहीं होती हैं, फिर भी उन्हें ब्राउज़र में अधिक समय तक देखा जाता है, जिससे एप्लिकेशन के लिए सुरक्षा भंग हो जाता है.

इसलिए, अपनी फ़ाइलों को हमेशा रूट डायरेक्टरी में रखने के बजाय एक सार्वजनिक फ़ोल्डर में संग्रहीत करें। यह उन्हें ब्राउज़र में कम सुलभ बना देगा और किसी भी संभावित हमलावर से कार्यक्षमताओं को छिपा देगा.

निष्कर्ष

PHP एप्लिकेशन हमेशा बाहरी हमलों के लिए संवेदनशील होते हैं, लेकिन ऊपर बताए गए सुझावों का उपयोग करके, आप आसानी से किसी भी दुर्भावनापूर्ण हमले से अपने एप्लिकेशन के कोर को सुरक्षित कर सकते हैं। एक डेवलपर होने के नाते, यह आपकी ज़िम्मेदारी है कि आप अपनी वेबसाइट के डेटा को सुरक्षित रखें और इसे त्रुटि रहित बनाएं.

इन युक्तियों के अलावा, कई तकनीकें बाहरी आक्रमणों से आपके वेब एप्लिकेशन को सुरक्षित रखने में मदद कर सकती हैं, जैसे कि सबसे अच्छा क्लाउड होस्टिंग समाधान का उपयोग करना जो आपको सुनिश्चित करता है कि आपके पास इष्टतम सुरक्षा सुविधाएँ, क्लाउड WAF, दस्तावेज़ रूट सेटअप, श्वेत सूची आईपी पते, और बहुत कुछ है।.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map