Senaryodan bahsedeyim.
1-Database'den tüm üyelerin listesini bir tabloya çekiyorum.
2- Her üyenin satırına "düzenle" isimli bir buton koyuyorum ve düzenle butonunun valuesunu, database'den gelen primary key olan uye_id olarak tanımlıyorum.
3-Butona basınca, butonun valuesunu çekerek, hangi üyenin düzenlenmesi gerektiğini sisteme söylüyorum value="4" ise id'si 4 olan üyenin bilgilerini getir diyorum.
Bu durumda mesela id'si 4 olan üyenin butonuna sağ tıklayıp value'yu 5 yaparsam ve ardından o butona basarsam id'si 5 olan üyenin bilgileri geliyor. Bunun ileride güvenlik açığı oluşturacağını düşünüyorum.
Hocam bu bir güvenlik açığı değil siz zaten bunu bir panelin içine koyacaksınız.
Bu ekrana gelmek için bir kullanıcı adı / şifre geçilecek.
Eğer ki kullanıcı seviyesi belirleyip her işlem sonrası bunuda eşleştirirseniz değiştirilmesi bir sıkıntı yaşatmaz.
Mesela siz panele giriş yaptınız seviniyeniz moderatör ve siz bir şekilde kullanıcı düzenle sayfasına id 5 değerine sahip bir kullanıcı ile düzenleme sayfası açtınız
Sayfada düzenleme işlemi yaptığınızda kullanıcının böyle bir işleme yetkisi olup olmadığını kontrol ederseniz otomatik olarak neyi değiştirmeye çalıştığı önemsiz olur
Ayrıca zaten seviyelendirme yaptığınızda o sayfalara otomatik giremez yani sayfa yüklenmez yetkiniz yok der yada direk ana dizine atar o şekilde ayarlarsınız.
Sağ tık ile id numarası değiştirme bir açık değildir ve engellenemez.
Siz o ekrana girişi güvenli hale getirin wordpress sitenize yeni yazı ekleyeceğiniz zaman önüne gelen ziyaretçi mi bu ekraa ulaşıyor yoksa admin paneline girebilen mi ?
Yönetim panelinizin içine gene XSS için vs. temizleme kodları koyun ama o kadarda sıkıntı edilcek bir durum değil sizinki.