light mode
night mode
জাভাস্ক্রিপ্ট রেগএক্সপি (Javascript RegExp)
Regular Expressions (RegExp) এর পরিচিতি RegExp কী? Regular Expressions এর ইতিহাস এবং প্রাথমিক ধারণা JavaScript এ RegExp কেন এবং কিভাবে ব্যবহার করবেন? RegExp এর মৌলিক গঠন এবং সিনট্যাক্স JavaScript এ RegExp এর বেসিক কনফিগারেশন RegExp Object কীভাবে তৈরি করবেন? RegExp এর দুটি প্রাথমিক পদ্ধতি: Literal এবং Constructor Syntax RegExp Flags: g, i, m, u, s, y RegExp এর মাধ্যমে String Matching RegExp এর বেসিক প্যাটার্নস এবং মেটাচার . (ডট): যেকোনো একটি চরিত্রের জন্য \d: যেকোনো সংখ্যা (ডিজিট) \w: যেকোনো ওয়ার্ড ক্যারেক্টার (অক্ষর, সংখ্যা বা আন্ডারস্কোর) \s: স্পেস (স্পেস, ট্যাব, লাইন ব্রেক) \D, \W, এবং \S: উল্টো প্রভাবিত মেটাচারacters RegExp Anchors এবং Boundaries ^ (Caret): স্ট্রিং এর শুরুতে মিলানোর জন্য $ (Dollar): স্ট্রিং এর শেষে মিলানোর জন্য Word Boundaries (\b) এবং Non-word Boundaries (\B) Character Sets এবং Ranges Character Set ([]) ব্যবহার করে নির্দিষ্ট চরিত্র খোঁজা Ranges ([a-z], [0-9]) ব্যবহার করা Negated Character Set ([^]) Predefined Character Classes Quantifiers (গুণক) *: শূন্য বা একাধিকবার +: এক বা একাধিকবার ?: শূন্য বা একবার {n}, {n,}, {n,m}: নির্দিষ্ট সংখ্যকবার বা সংখ্যার পরিসর Greedy এবং Lazy Matching Grouping এবং Alternation Parentheses (()) ব্যবহার করে Grouping Alternation (|) ব্যবহার করে বিকল্প প্যাটার্ন তৈরি করা Capturing Groups এবং Non-capturing Groups Named Capturing Groups RegExp এর Methods test(): স্ট্রিং এ প্যাটার্ন মিলানো পরীক্ষা করা exec(): প্যাটার্ন এর সম্পূর্ণ ম্যাচ খুঁজে বের করা String এর Methods: match(), replace(), search(), split() Lookaheads এবং Lookbehinds Positive Lookahead (?=) এবং Negative Lookahead (?!) Positive Lookbehind (?<=) এবং Negative Lookbehind (?<!) Lookaheads এবং Lookbehinds ব্যবহার করে প্যাটার্ন Matching Backreferences এবং Recursion Backreference কী এবং কিভাবে কাজ করে? Backreference ব্যবহার করে আগের গ্রুপের মিল খুঁজে বের করা Named Backreferences RegExp এর মধ্যে Recursion এবং উদাহরণ RegExp এর Flags এর গভীরতা g (Global Matching) i (Case-insensitive Matching) m (Multiline Matching) u (Unicode Support) s (Dotall Mode) y (Sticky Matching) Unicode এবং Unicode Property Escapes Unicode Matching কী? Unicode এবং \u ব্যবহার করে Matching Unicode Property Escapes (\p{}) ব্যবহার করা Unicode Matching এর জন্য Flags এবং Best Practices Complex Pattern Matching এবং Case Studies Email Address Validation URL এবং Domain Validation Phone Number এবং Postal Code Validation Complex Text Patterns Matching (e.g. Hashtags, Mentions) RegExp Performance Optimization RegExp এর Performance ইস্যু এবং তাদের সমাধান Nested Quantifiers এড়িয়ে চলা Backtracking এবং Performance Optimization Techniques Large Text Processing এর জন্য Best Practices RegExp এর Debugging এবং Testing RegExp এর জন্য Debugging Techniques Online RegExp Testing Tools (regex101, RegExr) Complex RegExp এর জন্য Step-by-step Testing Common Errors এবং সেগুলোর সমাধান RegExp এর Security Considerations ReDoS (Regular Expression Denial of Service) এবং তার সমাধান Untrusted Input থেকে RegExp তৈরি করার সময় নিরাপত্তা ব্যবস্থা Input Validation এবং Sanitization Security Best Practices এবং Vulnerability Testing RegExp এর বেস্ট প্র্যাকটিস এবং অ্যাডভান্সড টেকনিক Readability এবং Maintainability এর জন্য Best Practices Complex Patterns এবং Large Scale Applications এ RegExp এর ব্যবহার Named Groups এবং Lookaheads/Lookbehinds এর সমন্বয় RegExp এর ভবিষ্যৎ এবং নতুন ফিচার JavaScript এর ভবিষ্যৎ RegExp ফিচার এবং আপডেট ECMAScript এর নতুন RegExp ফিচার RegExp এর জন্য নতুন কমিউনিটি টুলস এবং ট্রেন্ডস

Security Best Practices এবং Vulnerability Testing গাইড ও নোট

Web Development - জাভাস্ক্রিপ্ট রেগএক্সপি (Javascript RegExp) - RegExp এর Security Considerations
226

RegExp (রেগুলার এক্সপ্রেশন) ব্যবহার করে ডেটা খুঁজে বের করার সময় security vulnerabilities তৈরি হতে পারে, বিশেষত যখন ব্যবহারকারীর ইনপুটের সাথে কাজ করা হয়। Security best practices এবং vulnerability testing এর মাধ্যমে এসব নিরাপত্তা ঝুঁকি প্রতিরোধ করা যায় এবং সিস্টেমের নিরাপত্তা নিশ্চিত করা সম্ভব হয়।

RegExp Security Best Practices

১. User Input Sanitization

একটি সাধারণ নিরাপত্তা ঝুঁকি হচ্ছে unsanitized user input এর মাধ্যমে RegExp তৈরি করা। ব্যবহারকারীর ইনপুট থেকে সরাসরি RegExp প্যাটার্ন তৈরি করা বিপজ্জনক হতে পারে, কারণ আক্রমণকারী malicious input দিয়ে নিরাপত্তা দুর্বলতা সৃষ্টি করতে পারে। এজন্য input sanitization করা খুবই গুরুত্বপূর্ণ।

Best Practice:

  • ব্যবহারকারীর ইনপুটকে sanitize করতে হবে, যেমন স্পেশাল চিহ্নগুলো \ (escape) করা যাতে সেগুলো RegExp প্যাটার্নের অংশ হিসেবে ব্যবহৃত না হয়।

উদাহরণ:

let userInput = "some.input*";
let safeInput = userInput.replace(/[.*+?^=!:${}()|\[\]\/\\]/g, "\\$&");
let regex = new RegExp(safeInput);

এখানে, আমরা ব্যবহারকারীর ইনপুটে যে কোনো স্পেশাল ক্যারেক্টারকে \ দিয়ে escape করে রেখেছি, যাতে সেগুলো RegExp প্যাটার্নের জন্য বিপজ্জনক না হয়ে যায়।

২. Avoid Catastrophic Backtracking

একটি সাধারণ নিরাপত্তা ঝুঁকি হচ্ছে catastrophic backtracking, যা RegExp প্যাটার্নে জটিল কোয়ান্টিফায়ারের (যেমন *, +, {n,}) ব্যবহার থেকে উদ্ভূত হয়। যখন প্যাটার্নে অনেক অপশনাল অংশ এবং কম্প্লেক্স কোয়ান্টিফায়ার থাকে, তখন এই ব্যাকট্র্যাকিং কম্পিউটেশনাল দিক থেকে অনেক সময় নিতে পারে এবং এটি সিস্টেমকে Denial-of-Service (DoS) আক্রমণের শিকার করতে পারে।

Best Practice:

  • সুনির্দিষ্ট এবং সহজ প্যাটার্ন তৈরি করুন। যখনই সম্ভব, lazy matching ব্যবহার করুন এবং complex কোয়ান্টিফায়ারের পরিবর্তে সহজ প্যাটার্ন তৈরি করুন।

উদাহরণ:

let regex = /a.*?b/;  // Lazy match to prevent backtracking

৩. Limit the Size of Input

Large input দ্বারা RegExp প্যাটার্নগুলোর পারফরম্যান্স কমিয়ে দিতে পারে এবং backtracking ঝুঁকি বৃদ্ধি করতে পারে। তাই ইনপুটের আকার সীমিত করে দেওয়া উচিত।

Best Practice:

  • ইনপুট সাইজ সীমিত করে দিন। উদাহরণস্বরূপ, ইনপুটের দৈর্ঘ্য ১০,০০০ অক্ষরের বেশি হলে তা গ্রহণ করা হবে না।

উদাহরণ:

if (userInput.length > 10000) {
  throw new Error("Input too large.");
}

৪. Use Safe RegExp Flags

RegExp ফ্ল্যাগগুলির ব্যবহার নিরাপত্তার জন্য গুরুত্বপূর্ণ। Global (g) ফ্ল্যাগ এবং sticky (y) ফ্ল্যাগ সাধারণত RegExp-এর প্রতিটি মিল পরীক্ষা করার জন্য ব্যবহৃত হয়, যা backtracking এর ঝুঁকি বাড়াতে পারে। অতএব, এই ফ্ল্যাগগুলির ব্যবহারের ক্ষেত্রে সতর্কতা অবলম্বন করা উচিত।

Best Practice:

  • যখনই সম্ভব, sticky এবং global ফ্ল্যাগ ব্যবহার এড়িয়ে চলুন, বিশেষ করে যখন স্ট্রিংয়ে প্রতিটি মিল পর্যালোচনা করা প্রয়োজন হয়।

Vulnerability Testing

RegExp-এর মাধ্যমে ভ্যালিডেশন বা ডেটা ম্যানিপুলেশন করলে সিস্টেমে নিরাপত্তা ত্রুটি তৈরি হতে পারে। RegExp Vulnerability Testing এর মাধ্যমে এসব ত্রুটি চিহ্নিত করা সম্ভব।

১. Fuzz Testing (Fuzzing)

Fuzz testing হল একটি পদ্ধতি যার মাধ্যমে আপনি অজানা বা অপ্রত্যাশিত ইনপুট প্রদান করে সিস্টেমের অস্থিরতা পরীক্ষা করেন। এটি ব্যবহার করে RegExp প্যাটার্নের বিরুদ্ধে দুর্বলতা খুঁজে বের করা যায়।

Best Practice:

  • RegExp প্যাটার্নের বিরুদ্ধে fuzz testing প্রয়োগ করুন যাতে অপ্রত্যাশিত বা অদ্ভুত ইনপুট প্যাটার্নগুলো সনাক্ত করা যায়।

উদাহরণ:

let regex = /^[a-zA-Z0-9]+$/;  // A simple alphanumeric match
let invalidInputs = [
  "<script>alert('attack')</script>",  // XSS attack
  "abcdefg123456",  // Fuzzed string
  "!!!@@@###"  // Invalid characters
];

invalidInputs.forEach(input => {
  if (regex.test(input)) {
    console.log(`Input: ${input} matched`);
  }
});

এখানে আমরা বিভিন্ন ধরনের আক্রমণমূলক ইনপুট পরীক্ষা করছি, যেমন XSS আক্রমণ বা অন্য কোনো অপ্রত্যাশিত ইনপুট।

২. Test for Denial-of-Service (DoS) Vulnerabilities

RegExp এর catastrophic backtracking সমস্যাটি Denial-of-Service (DoS) আক্রমণের জন্য ঝুঁকি তৈরি করতে পারে, যেখানে খারাপভাবে ডিজাইন করা প্যাটার্নের মাধ্যমে সার্ভার অত্যধিক পরিমাণে প্রক্রিয়া করতে বাধ্য হয়। এই ধরনের আক্রমণকে প্রতিরোধ করার জন্য আপনার RegExp প্যাটার্নের কার্যকারিতা পরীক্ষা করা জরুরি।

Best Practice:

  • Fuzz testing বা stress testing ব্যবহার করে RegExp প্যাটার্নের পারফরম্যান্স পরীক্ষণ করুন।

উদাহরণ:

let regex = /(a|b|c|d|e|f|g|h|i|j|k|l|m|n|o|p|q|r|s|t|u|v|w|x|y|z){50}/;
let input = "a".repeat(50);
console.time("Test");
regex.test(input);
console.timeEnd("Test");

এখানে একটি জটিল প্যাটার্নের পারফরম্যান্স পরীক্ষা করা হচ্ছে, যা সম্ভবত backtracking সমস্যা সৃষ্টি করবে।

৩. Code Review এবং Static Analysis

Static code analysis বা code review পদ্ধতিতে RegExp ব্যবহার করে এমন কোড সনাক্ত করা হয় যা সম্ভাব্য নিরাপত্তা ত্রুটি সৃষ্টি করতে পারে। এটা নিশ্চিত করতে সাহায্য করে যে প্যাটার্নগুলো সঠিকভাবে লেখা হয়েছে এবং নিরাপত্তার জন্য উপযুক্ত।

Best Practice:

  • Static analysis tools ব্যবহার করে RegExp প্যাটার্ন পর্যালোচনা করুন যাতে আপনার কোডে নিরাপত্তা ঝুঁকি চিহ্নিত হয়।

সারাংশ

Security best practices এবং vulnerability testing RegExp ব্যবহারের ক্ষেত্রে অত্যন্ত গুরুত্বপূর্ণ। ব্যবহারকারীর ইনপুট সঠিকভাবে sanitize করতে হবে, catastrophic backtracking প্রতিরোধ করতে হবে, এবং বড় ইনপুটগুলো সীমিত রাখতে হবে। এছাড়া, RegExp এর security vulnerabilities চিহ্নিত করতে fuzz testing, DoS testing, এবং static analysis পদ্ধতি ব্যবহার করা উচিত। এই কৌশলগুলো ব্যবহার করে আপনি সিস্টেমের নিরাপত্তা বৃদ্ধি করতে পারবেন এবং RegExp ব্যবহারে কোনো ধরনের নিরাপত্তা ঝুঁকি এড়াতে পারবেন।

Content added By
SATT Academy

Read more

ReDoS (Regular Expression Denial of Service) এবং তার সমাধান Untrusted Input থেকে RegExp তৈরি করার সময় নিরাপত্তা ব্যবস্থা Input Validation এবং Sanitization

or

Don't have an account? Register

Promotion

Satt AI

Are you sure to start over?