php post güvenliği

Tokenların içerisinde kullanıcıya ait bilgiler bulunuyor. Bu size random bir kod veriyor anladığım kadarıyla.

https://www.folkstalk.com/2022/09/sha256-in-php-with-code-examples.html

tokenlerin içinde kullanıcının bilgilerinin bulunması daha mı iyi oluyor peki? linkteki gibi mi kullanılıyor?

Dostum Token oluşturup, içerisine kullanıcı bilgilerini yazman gerekiyor ki Token'in kontrolünü yapabilesin. Yani evet içerisinde kullanıcı bilgisi olması gerekiyor.

ben şu şekilde düşünmüştüm:
oturumda token oluşturulur ve veritabanında o üyeye ait olan yere kaydedilir. veri çekmek veritabanında token = $session_token şeklinde arama yapıp çekmeyi düşünmüştüm.

Gerek yok DB'yi update etmeye

Tamam tokena kullanıcı bilgisini şifreleyip mi eklemem gerek?

Evet o şekilde içerisinde ID'de tutabilirsin.

Tamamdır teşekkürler

SHA256, MD5 bu yöntemlerin token saklamak için yeterince güvenli olduğunu düşünmüyorum. Üst düzey güvenlik istiyorsanız lütfen priv. key kullanmaya özen gösterin. Örn: (username=petri, pass=123456, salt=112548127512(timestamp olarak alabilirsiniz, ya da farkli bir yontem). Kullanıcının kayıt olurken girdiği şifreyi belirlediğiniz salt ile harmanlayarak hashlerseniz çok daha ileri seviye güvenliğe ulaşabilirsiniz. Tabii her şey hashlemekle bitmiyor. CSRF hakkında biraz araştırma yapın. Her form post işleminde her kullanıcıya özel olarak tanımlanan (sessionda token olarak tutabilirsiniz) keyleri kullanın ve kontrolsüz iş yapmayın. Token kullanmazsanız o kullanıcının haberi olmadan o hesap ile ilgili işlem yapılması da mümkün(kullanıcının giriş yapıp yapmadığını session yada cookie ile kontrol etseniz bile).

Yukarıdakiler gibi birçok detay var, genelde frameworkler bu açıklara karşı önlem alınarak geliştiriliyor. Frameworklerin kod yapılarını inceleyerek fikir sahibi olabilirsiniz. (Bknz: laravel csrf exploit türünü engelleyen bir fonksiyona sahiptir.)