AVideo में सादे पाठ (Plaintext) में वीडियो पासवर्ड का भंडारण

### सारांश AVideo सामग्री मालिकों को व्यक्तिगत वीडियो को पासवर्ड से सुरक्षित रखने की अनुमति देता है। वीडियो पासवर्ड डेटाबेस में **सादे पाठ (plaintext)** में संग्रहीत किया जाता है - कोई हैशिंग (hashing), साल्टिंग (salting), या एन्क्रिप्शन (encryption) लागू नहीं किया जाता है। यदि कोई हमलावर डेटाबेस तक पढ़ने की पहुंच प्राप्त कर लेता है (SQL इंजेक्शन (SQL injection), डेटाबेस बैकअप, या गलत तरीके से कॉन्फ़िगर किए गए एक्सेस कंट्रोल के माध्यम से), तो उन्हें सभी वीडियो पासवर्ड स्पष्ट पाठ (cleartext) में मिल जाते हैं। ### विवरण **फ़ाइल:** `objects/video.php` **संवेदनशील सेटर (Vulnerable setter):** ```php public function setVideo_password($video_password) { AVideoPlugin::onVideoSetVideo_password($this->id, $this->video_password, $video_password); $this->video_password = trim($video_password); } ``` **संवेदनशील गेटर (Vulnerable getter):** ```php public function getVideo_password() { if (empty($this->video_password)) { return ''; } return trim($this->video_password); } ``` `$this->video_password` को सौंपा गया मान केवल `trim()` किया जाता है और फिर डेटाबेस कॉलम `video_password` में `videos` टेबल में सुरक्षित किया जाता है। किसी भी हैशिंग (hashing) फ़ंक्शन (जैसे, `password_hash()`, `sha256`, या इसी तरह) को कोई कॉल नहीं किया जाता है। जब कोई आगंतुक संरक्षित वीडियो तक पहुंचने के लिए पासवर्ड दर्ज करता है, तो तुलना सीधे संग्रहीत सादे पाठ (plaintext) के विरुद्ध की जाती है: ```php // C