Cookie güvenliği

Cookie çoğu zaman kullanırız, örneğin iletişim form'larında yada başka yerlerde okunan veriler kullanıcı birdaha yazmasın diye yazdırabiliriz. ama bunun güvenlik sorunuda var, örneğin atadığınız cookie'yi hiçbir güvenllik ortamından geçirmeden ekrana yazdırırsanız kötü niyetli kişiler cookie'lerde oynama yaparak sitenizde zararlı javascript kodları çalıştırabilirler. Bu yüzden ekrana yazdıracağınız cookie'leri mutlaka güvenlik'ten geçirin. sadece html filtresinden geçirseniz yeterlidir.


$isim = "Tan";
setcookie("isim", $isim);


// Yanlış kullanım
<input type="text" name="isim" value="<?php print($_COOKIE['isim']); ?>" />

//Doğru kullanım
<input type="text" name="isim" value="<?php print(htmlspecialchars( $_COOKIE['isim'], ENT_QUOTES )); ?>" />

Pek $_SESSION değişkenleri kullanıcı tarafından değiştirebilinir mi ?

sadece session adı değiştirebilir, içeriğine dokunulamaz bile.

<?
$isim = "Tan";
setcookie("isim", $isim);


// Yanlış kullanım
<input type="text" name="isim" value="<?php print($_COOKIE['isim']); ?>" />

//Doğru kullanım
<input type="text" name="isim" value="<?php print(htmlspecialchars( $_COOKIE['isim'], ENT_QUOTES )); ?>" />

?>

$_COOKIE['isim'], ENT_QUOTES buradaki ENT_QUOTES in anlamı nedir ?

PHP: htmlspecialchars - Manual

Session için server taraflı cookie diyebiliriz bu sebeple server'a erişimi olmayan hiç kimse içeriğini değiştiremez.

ENT_QUOTES ' ve " bu karakterleri unhtml yapar
ENT_NOQUOTES ise sadece " karakterini unhtml yapar

teşekkürler faydalı olmuş

Çok teşekkürler.

Birşey sorayım bende session ismi nasıl değiştiriliyor?
bu şekilde session çakışması yaratılamaz mı?