0
Kayıt Ol

php post güvenliği

20

566

  • 15-11-2022, 21:53:03
    #1
    Mustafa1379
    Mustafa1379
    Merhabalar, mesela abone-ol.php sayfasında footerda ki formdan post ile gelen e-posta verisini veritabanına kayıt ettiriyorum. Güvenlik için addslashes, htmlspecialchars, boşluk kontrolü ve email kontrolü yaptırıyorum. Ek olarak bişey yapmama gerek var mı yeterli mi?
  • 15-11-2022, 21:54:14
    #2
    Developer
    Developer
    Mustafa1379 adlı üyeden alıntı: mesajı görüntüle
    Merhabalar, mesela abone-ol.php sayfasında footerda ki formdan post ile gelen e-posta verisini veritabanına kayıt ettiriyorum. Güvenlik için addslashes, htmlspecialchars, boşluk kontrolü ve email kontrolü yaptırıyorum. Ek olarak bişey yapmama gerek var mı yeterli mi?
    Regex'e tabi tutmanız en doğru çözüm olur.
  • 15-11-2022, 22:00:22
    #3
    Mustafa1379
    Mustafa1379
    burak2yilmaz adlı üyeden alıntı: mesajı görüntüle
    Regex'e tabi tutmanız en doğru çözüm olur.
    Regex kullanırsam ek olarak başka bişey gerek var mı? Yoksa bu kadar yeterli mi
  • 15-11-2022, 22:01:33
    #4
    Developer
    Developer
    Mustafa1379 adlı üyeden alıntı: mesajı görüntüle
    Regex kullanırsam ek olarak başka bişey gerek var mı? Yoksa bu kadar yeterli mi
    Sadece Regex işinizi çözer. Her verinizi Regex yaparsanız zaten sağlam filtreleme yapmış oluyorsunuz. Front-End ve Back-End'de ikili validasyona sokmanızı tavsiye ederim.
  • 15-11-2022, 22:05:31
    #5
    Mustafa1379
    Mustafa1379
    burak2yilmaz adlı üyeden alıntı: mesajı görüntüle
    Sadece Regex işinizi çözer. Her verinizi Regex yaparsanız zaten sağlam filtreleme yapmış oluyorsunuz. Front-End ve Back-End'de ikili validasyona sokmanızı tavsiye ederim.
    Tamamdir teşekkürler, birde login sayfası için login-post.php'de kullanıcı adı ve şifreyi alıyorum doğruysa $_SESSION = $kullanici_id şeklinde sessiona üyenin idsini kayıt ediyorum. login sayfasının güvenli olması için ne gibi şeyler yapmam gerekli? şuan sadece şifreyi md5 ile şifreliyorum. ve htmlspecialchars vb kontrolü yapıyorum.
  • 15-11-2022, 22:07:02
    #6
    Developer
    Developer
    Mustafa1379 adlı üyeden alıntı: mesajı görüntüle
    Tamamdir teşekkürler, birde login sayfası için login-post.php'de kullanıcı adı ve şifreyi alıyorum doğruysa $_SESSION = $kullanici_id şeklinde sessiona üyenin idsini kayıt ediyorum. login sayfasının güvenli olması için ne gibi şeyler yapmam gerekli? şuan sadece şifreyi md5 ile şifreliyorum. ve htmlspecialchars vb kontrolü yapıyorum.
    SHA256 kullanarak token oluşturabilirsiniz. Token'in tutulması daha doğru olur. Daha sonrasında token'i kontrol edebilirsiniz. Direk MD5 ile tutmak doğru değil.
  • 15-11-2022, 22:09:25
    #7
    Mustafa1379
    Mustafa1379
    burak2yilmaz adlı üyeden alıntı: mesajı görüntüle
    SHA256 kullanarak token oluşturabilirsiniz. Token'in tutulması daha doğru olur. Daha sonrasında token'i kontrol edebilirsiniz. Direk MD5 ile tutmak doğru değil.
    yani sessiona kullanıcının idsini kayıt etmek yerine her oturum için SHA256 ile token oluşturup o tokeni sessiona kayıt edeyim ve kullanıcının bilgilerini çekerken o token ile mi çekeyim?
  • 15-11-2022, 22:19:02
    #8
    Developer
    Developer
    Mustafa1379 adlı üyeden alıntı: mesajı görüntüle
    yani sessiona kullanıcının idsini kayıt etmek yerine her oturum için SHA256 ile token oluşturup o tokeni sessiona kayıt edeyim ve kullanıcının bilgilerini çekerken o token ile mi çekeyim?
    Aynen öyle. Kendi tokeninizi yapamazsanız, JWT kullanılıyordu galiba hazır olarak. Ona bakabilirsiniz.
  • 15-11-2022, 22:26:01
    #9
    Mustafa1379
    Mustafa1379
    burak2yilmaz adlı üyeden alıntı: mesajı görüntüle
    Aynen öyle. Kendi tokeninizi yapamazsanız, JWT kullanılıyordu galiba hazır olarak. Ona bakabilirsiniz. 
    $rand_token = openssl_random_pseudo_bytes(16);
$token = bin2hex($rand_token);
    token için bunu uygulasam olur mu ?