0
Kayıt Ol

$_session["kullanici"]; güvenlik filitresinden geçirmede yardım

7

246

  • 29-08-2018, 00:06:06
    #1
    FarkindaBiz
    FarkindaBiz
    $_session["kullanici"]; güvenlik filitresinden geçirmede yardım. çerez ve oturum için bir güvenlik KONTROL filitresi varmı başarılı oldğunu düşündüğünüz
  • 29-08-2018, 00:06:53
    #2
    Creatingz
    Creatingz
    Kimlik doğrulama veya yönetimden onay bekliyor.
    Session ile oturum yönetimi yapmak istiyorsunuz sanırım ?
  • 29-08-2018, 00:37:36
    #3
    strawz
    strawz
    Framework kullanmadan önce en temel güvenlik önlemi olarak kullanıcı giriş yaptığında ip adresini veritabanına atıp sürekli ip yi kontrol ettirirdim. Session içinde hiçbir zaman şifresiz değer kullanmamanızı öneririm. Özel anahtarla session içindeki değeri şifreleyin ve kullanmak istediğiniz zaman decrpyt işlemi gerçekleştirin. Encrpyt/decrypt şeklinde aratırsanız bulursunuz.
  • 29-08-2018, 11:11:53
    #4
    Adalente
    Adalente
    Ben Güvenlik için Her girişte Bir şifreli token oluşturuyorum ve üye bilgisi ile karşılaştırıyorum her giriş ve çıkışta bunu sorguluyorum bu yeterli oluyor benim için.
  • 02-09-2018, 00:10:26
    #5
    FarkindaBiz
    FarkindaBiz
    önerilerini için teşekkür ederim. bu konuda Encrpy/decrypt aratıp biraz ders çalışmam gerekiyor.
    1- üye olmayanları COOKIE ile sepete ekleme yaptırıyorum.
    2- üye kayıt ve girş yapan ise; serssion ile giriş yapıyor
    bu giriş ve kayıtları güvenli hale getirmem gerekiyordu.
    sonuçları yazacağım..


    eklemek istediğini olduğunda lütfen yazın
  • 02-09-2018, 12:29:35
    #6
    strawz
    strawz
    FarkindaBiz adlı üyeden alıntı: mesajı görüntüle
    önerilerini için teşekkür ederim. bu konuda Encrpy/decrypt aratıp biraz ders çalışmam gerekiyor.
    1- üye olmayanları COOKIE ile sepete ekleme yaptırıyorum.
    2- üye kayıt ve girş yapan ise; serssion ile giriş yapıyor
    bu giriş ve kayıtları güvenli hale getirmem gerekiyordu.
    sonuçları yazacağım..


    eklemek istediğini olduğunda lütfen yazın
    Güvenliği bir tık daha arttırmak istiyorsanız kullanıcının tarayıcı bilgilerinide bir session içine atıp her seferinde aynı tarayıcıdan girip girmediğini de kontrol ettirebilirsiniz(giriş işlemini yaptığı tarayıcı). O kullanıcı en son X tarayıcısında oturum açmışsa ve Y tarayıcısıyla o kullanıcıya erişmeye çalışıyorsa direk olarak session_destroy işlemi yaptırabilirsiniz. Aynı şekilde ip olayınıda veritabanından uygulayın. Tarayıcı, ip bilgileri bence yeterli olacaktır. Encryption'da çok basit. Baştan yazmanıza gerek yok hazır bir şekilde internette "belirlediğiniz anahtar ile" şifreleme işlemi yapan ve bunu çözen fonskiyonları paylaşan çok kişi var. Aralarından birini seçip kullanabilirsiniz. Tabiki fonskiyonları incelemekte fayda var.
  • 20-11-2018, 17:55:55
    #7
    FarkindaBiz
    FarkindaBiz
    Encrypt Decrypt Hashing işlemini Kullanıcı adı, şifre'nin dışında
    diğer form bilgilerinede ŞİFRELEMEK gerekir mi?
  • 21-11-2018, 08:44:06
    #8
    strawz
    strawz
    FarkindaBiz adlı üyeden alıntı: mesajı görüntüle
    Encrypt Decrypt Hashing işlemini Kullanıcı adı, şifre'nin dışında
    diğer form bilgilerinede ŞİFRELEMEK gerekir mi?
    Önemli ve değişiklik yapılmasını istemediğiniz bilgileri şifrelemelisiniz. Bütün kullanıcı bilgilerini session kullanarak tutmamanızı öneririm. Sadece 1 bilgi ile istek yapan istemcinin hangi kullanıcı olduğunu anlamanızı sağlayacak şekilde kullanmanızı tavsiye ederim. Bu bilgiyle her sayfada gerektiği kadar veritabanından bilgi akışı sağlayabilirsiniz. Mümkün olduğunca bütün işlemleri server side olarak adlandırdığımız sunucu tarafında yapmaya çalışmanızı tavsiye ederim. Session hack ile ilgili detaylı bir bilgim yok fakat her zaman alabildiğinizce önlem alın derim. Ben hep şu şekilde düşünerek ilerlerim;
    "Bu sessiona şöyle bi değer verdim ama bunu bir kullanıcı bir şekilde değiştirirse bu değişiklik yazdığım programda ne gibi açıklar doğurur?"