0
Kayıt Ol

php post güvenliği

20

566

  • 16-11-2022, 10:50:49
    #19
    Developer
    Developer
    petri adlı üyeden alıntı: mesajı görüntüle
    SHA256, MD5 bu yöntemlerin token saklamak için yeterince güvenli olduğunu düşünmüyorum. Üst düzey güvenlik istiyorsanız lütfen priv. key kullanmaya özen gösterin. Örn: (username=petri, pass=123456, salt=112548127512(timestamp olarak alabilirsiniz, ya da farkli bir yontem). Kullanıcının kayıt olurken girdiği şifreyi belirlediğiniz salt ile harmanlayarak hashlerseniz çok daha ileri seviye güvenliğe ulaşabilirsiniz. Tabii her şey hashlemekle bitmiyor. CSRF hakkında biraz araştırma yapın. Her form post işleminde her kullanıcıya özel olarak tanımlanan (sessionda token olarak tutabilirsiniz) keyleri kullanın ve kontrolsüz iş yapmayın. Token kullanmazsanız o kullanıcının haberi olmadan o hesap ile ilgili işlem yapılması da mümkün(kullanıcının giriş yapıp yapmadığını session yada cookie ile kontrol etseniz bile).

    Yukarıdakiler gibi birçok detay var, genelde frameworkler bu açıklara karşı önlem alınarak geliştiriliyor. Frameworklerin kod yapılarını inceleyerek fikir sahibi olabilirsiniz. (Bknz: laravel csrf exploit türünü engelleyen bir fonksiyona sahiptir.)
    Kesinlikle haklı. CSRF ve Token içerisinde client bilgilerinin bulunması çok önemli. Ek olarak CORS önlemlerininde alınması gerekiyor. Güvenlik dipsiz kuyu.
  • 16-11-2022, 16:32:32
    #20
    Mustafa1379
    Mustafa1379
    burak2yilmaz adlı üyeden alıntı: mesajı görüntüle
    SHA256 kullanarak token oluşturabilirsiniz. Token'in tutulması daha doğru olur. Daha sonrasında token'i kontrol edebilirsiniz. Direk MD5 ile tutmak doğru değil.
    Merhaba, token oluşturup sessiona kayıt işlemini login-post sayfasında yaptıktan sonra kontrolü nerede ve nasıl yapmam lazım?
  • 16-11-2022, 20:13:10
    #21
    Vema
    Vema
    Kimlik doğrulama veya yönetimden onay bekliyor.
    Merhabalar,
    Kendi başınıza tüm güvenlik önlemlerini almanız hem size baya bir yük olmuş olur hemde net olarak çözüme kavuşmanızı garanti etmez. Bir framework kullanabilirsiniz bir çok güvenlik önlemi default olarak gelmekte ve basit bir yapılandırma ile bunları alabilirsiniz ancak framework öğrenmeye zaman kaybetmek istemiyorsanız github üzerinden önceden hazırlanmış bir çok güvenlik paketleri mevcut bunları kolay bir şekilde composer ile projenize dahil edebilirsiniz.