0
Kayıt Ol

php session ve güvenlik

5

4.273

  • 17-10-2006, 17:55:24
    #1
    rvr
    rvr
    Üyeliği durduruldu
    arkadaşlar

    session_start();
    session_register("username");

    ile session başlatıyorum, php bilgim olmasına rağmen bu session'lardan hiçbişey anlamadım, tamam sistem bitti herşey güzel bir şekilde çalışıyor, peki benim bu kaydettiğim username verisi başkası tarafından okunabilir mi, öyle olursa bir felaket olur yada bunun için koruma önlemlerini nasıl alıyoruz.

    bide ufak bir ek yapayım, acaba yazdığım sitelerin güvenliğini test etmek için programlar var mı, hack türü programları demiyorum, özel php session ve cookie güvenliğini test eden türden programlar.
  • 17-10-2006, 19:48:07
    #2
    Sting
    Sting
    session kullanıcıdan başkasının görmesine imkan yok. rahat olabilirsin
    çünkü o kişinin makinesine, tarayıcısına özeldir.
  • 17-10-2006, 22:27:34
    #3
    altayalp
    altayalp
    session_register("username");
    yerine
    $_SESSION['username'] = $username;
    şeklinde kullanırsanız daha sağlıklı olur yeni versiyonlara göre
  • 19-10-2006, 13:14:48
    #4
    muhtar
    muhtar
    Üyeliği durduruldu
    session_start();
    echo session_id();

    bu komut ile de o an o kullanıcı için php nin kendi oluşturduğu session id si görebilirsiniz . session_id hack edebilme durumu var ama çok iyi bir bilgiye sahip olmak gerekir .

    aslında explorer penceresi açıkken bu session_id atanır . kapandıgı zaman olay biter yani temp te falan cookie gibi kalmaz

    pek korkulacak bir durum yok gibi .
    ama daha deneyimli arkadaşlar buna açıklık getirebilirler .
  • 19-10-2006, 16:31:27
    #5
    Bartuc
    Bartuc
    Kurumsal PLUS
    sessionlar gayet sağlıklıdır. session ile sayfalara bağımlı olmadan değişkenler tanımlayabilirsin, zaten çoğu sistem session ile çalışır. sunucuyla alakalı olmadığından (sadece tmp olarak session süresi dahilinde sunucuya kaydediliyor) güvenlidir, session süresi bitince silinir. session aktif iken ulaşılabilmesi için de root erişimi gerekir, root erişimi olsa bile tmp klasöründen session değerini okuyacak adam çok azdır.
    bi de globals olayı var, bunlar sessionlar gibi oturumu saklamaz, sunucuya kaydını yapar. bunlar çok tehlikelidir ki register_globals() izin verilen sunucularda, bilinçsiz kodlama olan bir php script kullanılırsa isteyen hacker makinede root shell hesabı yaratıp sadece o siteyi değil, makineyi komple ele geçirebilir.
    session_register("username");
    bu şekilde kullanmaktansa;
    $_SESSION['username'] = $username;
    böyle kullanmak daha sağlıklı olacaktır, ama sunucunun php versiyonu eskiyse session bu şekilde register edilmez.

    yeni versiyonlarda session'u bitirmek için de;
    unset($_SESSION['username']);
  • 22-10-2006, 02:02:14
    #6
    muhtar
    muhtar
    Üyeliği durduruldu
    Bartuc adlı üyeden alıntı: mesajı görüntüle
    sessionlar gayet sağlıklıdır. session ile sayfalara bağımlı olmadan değişkenler tanımlayabilirsin, zaten çoğu sistem session ile çalışır. sunucuyla alakalı olmadığından (sadece tmp olarak session süresi dahilinde sunucuya kaydediliyor) güvenlidir, session süresi bitince silinir. session aktif iken ulaşılabilmesi için de root erişimi gerekir, root erişimi olsa bile tmp klasöründen session değerini okuyacak adam çok azdır.
    bi de globals olayı var, bunlar sessionlar gibi oturumu saklamaz, sunucuya kaydını yapar. bunlar çok tehlikelidir ki register_globals() izin verilen sunucularda, bilinçsiz kodlama olan bir php script kullanılırsa isteyen hacker makinede root shell hesabı yaratıp sadece o siteyi değil, makineyi komple ele geçirebilir.
    session_register("username");
    bu şekilde kullanmaktansa;
    $_SESSION['username'] = $username;
    böyle kullanmak daha sağlıklı olacaktır, ama sunucunun php versiyonu eskiyse session bu şekilde register edilmez.
    yeni versiyonlarda session'u bitirmek için de;
    unset($_SESSION['username']);
    Teşekkürler ..
    güzel noktalamışsın olayı
    eline sağlık ..