0
Kayıt Ol

PHP SESSION Kullanımı (anlatım)

12

294

  • 25-08-2020, 19:46:36
    #10
    Aeknasd145
    Aeknasd145
    MSA adlı üyeden alıntı: mesajı görüntüle
    $_SESSION iyidir, hoştur, kolaydır. Fakat proje büyüdükçe sıkıntı yapar. Her session sunucuda ayrı bir dosya olarak tutulduğundan çok fazla oturum açıldığında sunucuyu zorlar; performans kayıplarına neden olur.

    Bunu önlemek için token sistemleri kullanılabilir, örneğin jwt inceleyebilirsiniz. Token sistemlerinde sunucuda dosya oluşturulmaz; veri zaten tokenin içerisindedir. Her istekte token istemciye gönderilir ve oturum doğrulanır. Bir bilgi de ben katayım dedim
    Yanlış bilmiyorsam tokenlarçalınabiliyor ama
  • 25-08-2020, 19:51:11
    #11
    MSA
    MSA
    Aeknasd145 adlı üyeden alıntı: mesajı görüntüle
    Yanlış bilmiyorsam tokenlarçalınabiliyor ama
    Session da çalınır hocam, bknz: Session hijacking. Session dediğiniz şey cookie'de saklanan bir koddur zaten.

    Session ile tokenin farkı session'lar kullanıcı tarafından okunamaz, çünkü sunucu tarafında saklanır. Tokenin içinde yer alan bilgiler ise kullanıcı tarafından okunabilir. Bu yüzden token'de önemli bilgiler saklanmaz, tanımlayıcı bilgiler saklanır.

    Ayrıca session da olsa token de olsa çalınmaması için bazı önlemler almanız gerekir. Örneğin ben tokenin içerisine kullanıcının tarayıcı ve ip bilgisini saklarım. (md5 ile hash ederek) Kullanıcı her istekte bulunduğunda tokenin içerisindeki ip ile anlık ip'sini karşılaştırıp aynı değil ise oturumu sonlandırırım. Bu şekilde basit güvenlik önlemleri alabilirsiniz

    Ayrıca jwt projesine şuradan göz atabilirsiniz:
    https://github.com/firebase/php-jwt
  • 25-08-2020, 19:58:02
    #12
    Aeknasd145
    Aeknasd145
    MSA adlı üyeden alıntı: mesajı görüntüle
    Session da çalınır hocam, bknz: Session hijacking. Session dediğiniz şey cookie'de saklanan bir koddur zaten.

    Session ile tokenin farkı session'lar kullanıcı tarafından okunamaz, çünkü sunucu tarafında saklanır. Tokenin içinde yer alan bilgiler ise kullanıcı tarafından okunabilir. Bu yüzden token'de önemli bilgiler saklanmaz, tanımlayıcı bilgiler saklanır.

    Ayrıca session da olsa token de olsa çalınmaması için bazı önlemler almanız gerekir. Örneğin ben tokenin içerisine kullanıcının tarayıcı ve ip bilgisini saklarım. (md5 ile hash ederek) Kullanıcı her istekte bulunduğunda tokenin içerisindeki ip ile anlık ip'sini karşılaştırıp aynı değil ise oturumu sonlandırırım. Bu şekilde basit güvenlik önlemleri alabilirsiniz

    Ayrıca jwt projesine şuradan göz atabilirsiniz:
    https://github.com/firebase/php-jwt


    güzel yorumunuz için teşekkürler hocam yazdığım yazı baya bi genişlemiş oldu sayenizde her konuyu daha fazla araştırmak lazım her yerden bir bilgi ediniyoruz
  • 28-08-2020, 17:53:41
    #13
    ermanaltind
    ermanaltind
    ERR_CACHE_MISS yada bilinen adıyla
    Yeniden Form Gönderme İşlemini Onayla
    Özellikle session kullanımında post sayfasından kaynağa geri dön yapıldığında çıkan
    Uyarısını kaldırmak , kullanıcıya direkt sayfayı tekrar göstermek icin bir ekleme , bundan doğabilecek güvenlik açıkları olabilir mesuliyet size aittir fazla inceleme vakti bulamadım bu haliyle çalışıyor


    header('Cache-Control: no cache');
    session_cache_limiter('private_no_expire');
    //session_cache_limiter('public')
    session_start();


    Aeknasd145 adlı üyeden alıntı: mesajı görüntüle
    bunu bende bilmiyorum hocam biraz araştırıyım bulursam size dehaber veririm.