Admin giriş Kontrolü nasıl olmalı

05-04-2018, 13:01:51

Kimlik doğrulama veya yönetimden onay bekliyor.

merhaba arkadaşlar güvenlik konusunda çok fazla bilgim olduğu söylenemez bir çok script indirip nasıl önlem alınmış vb inceliyorum + videolar izliyorum hemen hemen hepsi aynı mantık
sormak istediğim aşağıdaki index.php , control.php, admin.php bu kod yapısında olsa açık olurmu olursa neler olabilir ne tür önlem alınmalı?

index.php
doğal olarak control.php ye gönderiyor index.php de herhangi bir güvenlik kodu yazmak gereklimi sizce?

<form action="control.php" method="post">
    <input type="text" name="email" />
    <input type="text" name="sifre" />
</form>

control.php aşağıdaki gibi olsa açık varmıdır? post edilen bilgileri htmlspecialchars vb güvenlik fonksiyonlarından geçirdiğimizi varsayarsak

<?php
 session_start(); ob_start();
require('baglan.php');
 if($_POST){
 $email = $_POST["email"];
$sifre = md5(md5(md5(trim($_POST["sifre"]))));
$bul = mysql_query("select * from users where email='$email' && sifre='$sifre' && yetki='1' && onay='1'");
if(mysql_num_rows($bul)>0){
$goster = mysql_fetch_array($bul);
$_SESSION["adsoyad"] = $goster["adsoyad"];
$_SESSION["adminemail"] = $goster["email"];
$_SESSION['yetki'] = $goster["yetki"];
?>
<meta http-equiv="refresh" content="1;url=admin.php">
  <?php }else{session_destroy(); ?>
<div>Yanlış kullanıcı adı ve şifre girdiniz...</div>
<meta http-equiv="refresh" content="1;url=index.php">
 <?php }} ?>

admin php

<?php require('baglan.php');
session_start();
ob_start();

error_reporting(1);
if ($_SESSION['yetki'] != 1) { ?>
<meta http-equiv="refresh" content="1;url=index.php">

    <?php }else{


echo "Hoşgeldin".$_SESSION["adsoyad"];
echo "eposta".$_SESSION["adminemail"];
}

?>

05-04-2018, 13:04:18

#2

Bybitter

PDO sistemini araştırın hocam daha sağlıklı ve güvenli kodlamadır

05-04-2018, 13:06:20

#3

Konya

Bybitter adlı üyeden alıntı: mesajı görüntüle

PDO sistemini araştırın hocam daha sağlıklı ve güvenli kodlamadır

hocam PDO daha güvenli olduğu söylenmiş ancak ben kendimi normal mysql ilede geliştirmek istedim sadece bilgi edinmek bendeki amaç

05-04-2018, 13:07:10

#4

~~vekka~~

Üyeliği durduruldu

aşağıdaki kodu, admin paneli tarafında işlem yapılacak tüm sayfalara ekle. Bunu eklemendeki amaç, giriş yapmadan panele ulaşımı engellemek. Senın bu sisteminde admin panelinde bulunan diğer sayfaların adresini bulsalar o sayfalara ulaşırlar giriş yapmadan.

<?php
require_once("baglan.php");

ob_start();
session_start();
 
if(!isset($_SESSION["login"])){
    header("Location:admingiris.php");
}
else {
   echo "hoşgeldin";
}

?>

05-04-2018, 13:13:02

#5

Konya

vekka adlı üyeden alıntı: mesajı görüntüle

aşağıdaki kodu, admin paneli tarafında işlem yapılacak tüm sayfalara ekle. Bunu eklemendeki amaç, giriş yapmadan panele ulaşımı engellemek. Senın bu sisteminde admin panelinde bulunan diğer sayfaların adresini bulsalar o sayfalara ulaşırlar giriş yapmadan.

<?php
require_once("baglan.php");

ob_start();
session_start();
 
if(!isset($_SESSION["login"])){
    header("Location:admingiris.php");
}
else {
   echo "hoşgeldin";
}

?>

yani birde $_SESSION["login"] oluşturup bunu true eşitleyip bu kontrolü mü yapmalım?

yada $_SESSION["login"] oluşturmadan aşağıdaki kod yapısı eklense aralarında fark varmıdır?

<?php
session_start();
if (!(isset($_SESSION["email"])) and !(isset($_SESSION['yetki']))) {
exit('<meta http-equiv="refresh" content="0;url=index.php">');
    }else{
echo "hoşgeldin";
}
?>

05-04-2018, 13:17:56

#6

~~vekka~~

Üyeliği durduruldu

yani birde $_SESSION["login"] oluşturup bunu true eşitleyip bu kontrolü mü yapmalım? evet

yada $_SESSION["login"] oluşturmadan aşağıdaki kod yapısı eklense aralarında fark varmıdır? fark var. benım yazdıgım kodda giriş işlemi yapılıp yapılmadıgına bakılıyor. Senın yazdıgın kodda email ve yetki ifadelerinin olup olmadıgına bakılıyor.