O`zbekiston respublikasi axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti mustaqil ish
Download 103.75 Kb.
|
|
O`ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI VA KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI MUSTAQIL ISH Mavzu: PHP dasturlash tilida xavfsiz kod yozish usullari Bajardi:Yetmishov A
Toshkent 2023 Reja: 1.Sanitizatsiya va Validatsiya 2.SQL-injection atakalari 3.Cookies va Sessionsdan to’g’ri foydalanish 4.Form ma’lumotlarini post qilish 5.Xavfsiz SSL 1. Sanitizatsiya va validatsiya, ma'lumotlar to'plamining xavfsiz va ma'qul miqdorda bo'lishini ta'minlash uchun muhim protsedurlardir. Bu, dastur yozuvlarini xavfsiz va aniq miqdorda ishlatish imkonini beradi. Sanitizatsiya, dastur yozuvlarining ma'lumotlar bazasiga saqlanishi paytida tashvishli malumotlarni tozalash uchun amalga oshiriladi. Misol uchun, bir foydalanuvchi yozuvi tomonidan kiritilgan ma'lumotlar o'z ichiga JavaScript kodlarini oladi. Sanitizatsiya, bu tur kiritishlarni tozalaydi va bularning dasturda xavfsiz tarzda ishlatilishini ta'minlaydi. Boshqa bir misol, bir foydalanuvchi yozuvi tomonidan kiritilgan ma'lumotlar o'z ichiga SQL so'rovlari olishi mumkin. Sanitizatsiya, SQL-iy xatoliklarni kamaytirib, ma'lumotlar bazasiga to'g'ri ko'rinishda kiritilishini ta'minlaydi. Validatsiya esa, foydalanuvchi tomonidan kiritilgan ma'lumotlarning aniq va ma'qul miqdorda va shaklda bo'lishini ta'minlash uchun qo'llaniladi. Misol uchun, bir foydalanuvchi ro'yxatdan o'tish paytida to'g'ri kiritmagan yoki noto'g'ri formatda kiritgan elektron pochta manzili kiritishi mumkin. Validatsiya, foydalanuvchining manzilining to'g'ri formatda kiritilganligini tekshiradi va kerakli maydonni to'g'ri shaklda to'ldirishni tekshiradi. Bularning yomon misollari, web saytlaridagi formalar, manzil va telefon raqamlari, yozuv maydonlari va boshqa ma'lumotlarni qabul qilishda yuzaga kelishi mumkin. Bunday ko'rsatkichlar keng tarqalgan bulib, bu ko'rsatkichlarni to'g'ri qo'llab-quvvatlash muhimdir. 2. SQL injection, web saytlarida yaratilgan xato orqali ma'lumotlarni olish uchun odatda ishlatiladigan bir xakerlik taktikasi hisoblanadi. Bu taktika saytga kiritilgan ma'lumotlarni tozalash va validatsiya jarayonlaridan o'tish yordamida foydalanadi va sayt ma'lumotlar bazasida kiritilgan SQL so'rovlari yordamida ma'lumotlarni olishga urinadi. SQL injection atakalari, sayt ma'lumotlari uchun xavfsizlik riskini ko'paytiradi va sayt foydalanuvchilarining shaxsiy ma'lumotlarini olishga imkon beradi. SQL injection atakalari quyidagilarga o'xshash xususiyatlar bilan belgilanadi: 1.Shtatlarni ochish: SQL injection taktikasi sayt ma'lumotlar bazasidagi so'rovlarni o'zgartirish yordamida amalga oshiriladi, bu esa sayt foydalanuvchilari tomonidan kiritilgan ma'lumotlar yordamida amalga oshirilishi mumkin. 2.Sayt ma'lumotlar bazasidagi ma'lumotlarni olish: SQL injection taktikasi orqali, hakerlar sayt ma'lumotlar bazasidagi ma'lumotlarni olishadi. Bu, sayt foydalanuvchilarining shaxsiy ma'lumotlarini olishga imkon beradi. 3.SQL so'rovini o'zgartirish: SQL injection taktikasi orqali, hakerlar sayt ma'lumotlar bazasidagi SQL so'rovlarni o'zgartirishga urinishadi va sayt foydalanuvchilarining ma'lumotlariga xavfsizlik kiritishga urinadi. SQL injection taktikasidan saqlanish uchun, sayt yaratuvchilari kiritilgan ma'lumotlarni tozalash va validatsiya jarayonlaridan o'tish yordamida ma'lumotlarni tozalashni va sayt ma'lumotlar bazasidagi so'rovlarni xavfsizlashtirishni ta'minlashi kerak. Bu jarayonlar ma'lumotlarning xavfsiz va aniq miqdorda bo'lishini ta'minlaydi va SQL injection atakalaridan saqlanishga yordam beradi. 3. Cookies va Sessions, web saytlarining foydalanuvchilar bilan o'zaro aloqalarini saqlash uchun foydalaniladigan me'yorlardir. Bu me'yorlar foydalanuvchilarning saytga kirish tarixini, foydalanuvchi tomonidan yuborilgan ma'lumotlarni saqlash, xizmat ko'rsatishda yordam berish, shaxsiy foydalanuvchi yo'nalishlarini saqlash uchun foydalaniladi. Cookies, foydalanuvchining brauzerida saqlanuvchi fayllar bo'lib, saytga kirish paytida yaratiladi. Bu fayl foydalanuvchi tomonidan saytga kirish paytida yuborilgan ma'lumotlarni saqlash uchun ishlatiladi. Fayl odatda, foydalanuvchi xatolarini aniqlash va saytni to'g'ri ishlashi uchun kerakli ma'lumotlarni saqlash uchun ishlatiladi. Foydalanuvchining brauzeri tomonidan saqlanadi va foydalanuvchi brauzeridan saytni yopib chiqish yoki brauzerini yopib qaytib kiritganda uni saqlab turadi. Sessions esa foydalanuvchi faqat saytda bo'lgan paytda ishlatiladi. Foydalanuvchi saytga kirib, server tomonidan generatsiya qilingan xususiy sharh (session ID) orqali sessions yaratiladi va bu sharh server tomonidan saqlanadi. Session, foydalanuvchining saytdagi xarakteristikalarini saqlaydi va foydalanuvchining brauzeridan chiqib ketguncha server tomonidan saqlanadi. Session, foydalanuvchi tomonidan saytni yopib chiqish yoki brauzerni yopish orqali tugatiladi. Cookies va Sessionsdan to'g'ri foydalanish uchun, sayt yaratuvchilari foydalanuvchining shaxsiy ma'lumotlarini himoya qilish va sayt xizmatlaridan foydalanishni qulaylashtirish uchun foydalanish kerak. Bunday maqsadlar uchun, foydalanuvchining ma'lumotlarini himoya qilish uchun shifrlash protokollari va xavfsizlik saytlari ishlatilishi lozim. Shuningdek, cookies va sessionsni to'g'ri ishlatish uchun, sayt yaratuvchilari ma'lumotlarni to'g'ri formatda to'plash, ma'lumotlar bazasida saqlash, validatsiya va sanitizatsiyani amalga oshirish kabi ma'lumotlarni tozalash jarayonlarini ham to'g'ri bajarishlari kerak. 4. Form ma'lumotlarini "POST" protokoli orqali qilish talab qilinadi, chunki bu protokol foydalanuvchining kiritgan ma'lumotlarni URL parametrlari orqali o'tkazishni to'xtatadi. Bu maqsadga, HTML formasining "method" atributiga "POST" qiymatini qo'shish kerak. Misol uchun: Bu kodda, "method" atributi "POST" qiymatiga teng bo'lib, foydalanuvchining kiritgan ma'lumotlar form yuborilganda "submit-form.php" fayliga POST HTTP so'rovi orqali yuboriladi. Ma'lumotlar "POST" protokoli orqali yuborilganda, ular "$_POST" massivida saqlanadi. "$_POST" massivi formdagi "name" atributiga qarab atalib, foydalanuvchining kiritgan ma'lumotlarni o'z ichiga oladi. Misol uchun: Bu kodda, "REQUEST_METHOD" server xususiyati orqali "POST" so'rovi yuborilganligini tekshiriladi. Agar "POST" so'rovi yuborilganda, "$_POST" massividan foydalanuvchining kiritgan ma'lumotlar o'zgaruvchilarga saqlanadi va ularni kelgusi amallar uchun ishlatish mumkin. 5. SSL (Secure Sockets Layer) yoki keyingi tarzda TLS (Transport Layer Security), Internetdagi ma'lumotlar almashinuvini shifrlash uchun protokoldir. SSL, Internet protokollari orqali jo'natilayotgan ma'lumotlarni xavfsizlikka saqlash uchun foydalaniladi. SSL foydalanuvchi va server orasida ko'rsatilayotgan ma'lumotlarni shifrlaydi. Shu sababli, SSL yordamida Internetdagi foydalanuvchi ma'lumotlarini himoya qilish mumkin. Shuningdek, SSL foydalanuvchi va server orasida kimlikni tasdiqlash protokolini ham o'z ichiga oladi. Bunday xavfsizlik protokollarini ishlatish sayt foydalanuvchilari uchun juda muhimdir. Shu protokollar sayt foydalanuvchilarining shaxsiy ma'lumotlarini xavfsizlikka saqlash, ma'lumotlar almashinuvi davomida foydalanuvchilar uchun maxfiylikni ta'minlash uchun juda kerakli. SSL protokoli, foydalanuvchi va server orasidagi barcha ma'lumotlarni xavfsizlikka saqlaydi, shu jumladan foydalanuvchining login va parol kabi maxfiy ma'lumotlari ham. Xavfsiz SSL foydalanish uchun, SSL sertifikati sifatida nomlanuvchi sertifikat talab qilinadi. SSL sertifikati, sayt yaratuvchisi tomonidan server uchun xarid qilinadi va sayt foydalanuvchilari uchun xavfsizlikni ta'minlash uchun talab qilinadi. Sertifikat sayt yaratuvchisi va serveri orasidagi ko'rsatilgan ma'lumotlarni tasdiqlovchi belgi hisoblanadi. Sertifikat orqali foydalanuvchi ma'lumki, sayt foydalanuvchisi serverga to'g'ri tashrif buyurayotgani va sayt foydalanuvchisi va server orasidagi ma'lumotlar xavfsizligi ta'minlangan. Xavfsiz SSL protokolining foydalanishini ta'minlash uchun, SSL sertifikatining qat'iy tekshirilishi va tasdiqlanishi, to'g'ri SSL protokolini ishlatish, foydalanuvchilar uchun xavfsizliksiz bir foydalanish tajribasi ta'minlash uchun SSL sertifikati sifatida nomlanuvchi sertifikatni joriy qilish va uzun muddatli xavfsizlikni ta'minlash uchun SSL sertifikatini o'zgartirish va yangilash kabi amallar talab qilinadi. Download 103.75 Kb. Do'stlaringiz bilan baham: 
|