PHP PDO Acil Yardım

Merhabalar,

PHP PDO kullanarak kodladığım multi üyelikli sistemde sisteme dadanan bi hacker anladığım kadarıyla cookie auth yoluyla tüm kullanıcıların şifresini değiştiriyor. Profil güncelleme sayfasını kapatmama rağmen yeniden aynı şey oldu. 2 seçenek var, 1. admin için hazırladığım üye güncelleme sayfasına erişim(yetkiye göre yönlendirme ekledim erişemez diye düşünüyorum) 2. şifremi unuttum kısmını kullanabilir orda da şifre sıfırlama kodu kontrolü yaptırdım.

Ücretli ücretsiz destek arıyorum teşekkürler.

üye girişlerini session ile yapmanız gerekiyor..

Hocam 5 binden fazla üye var ve tek hamlede hepsini değiştiriyor sql sorgusu gibi

sqlde açık vardır o zaman hocam

Bu gibi sorunlar için log tutarsanız işlemin nereden yapıldığını fark edebilirsiniz.
Şifre sıfırlama bölümünde sabit bir veriyi şifreletiyorsanız token değerine erişim sağlıyor olabilir. Örneğin nasıl olsa sürekli değişiyor diye zaman verisini şifreleniyordur ancak sunucu saati ile local saat arasında fark var.
Anladığım kadarıyla düz php/pdo ile kodlanmış, admin paneli için Session kontrolü yaptırırken açık bırakmış olabilirsiniz.
Örn;
sayfanın üstüne if($_SESSION["admin"]) şeklinde kontrol eklersiniz, normal sayfa açılmaya çalışıldığında erişim sağlanmaz ancak postman gibi uygulamalar ile uzaktan "admin" değeri post edildiğinde sayfaya giriş yapar. Sebebi ise admin varsa geç mantığında kontrol olduğudur. Sayfa geçişlerinde sadece XX session varsa diye kontrol yaptırmayın, email&pass verilerini session'a atadıysanız SQL'den verilerin doğruluğunu kontrol ettirin.

Bu şekilde açık varsa uzaktan "üye güncelleme sayfası" dediğiniz bölüme erişimde sağlanabilir.

Not: Yukarıda belirttiğiniz mesaja istinaden aynı anda bütün kullanıcıların şifresini değiştiriyorsa SQL Injection açığı olma ihtimali çok yüksek. Biligleri değiştirdiği gibi farklı işlemlerde yapabilir veri sızıntısı söz konusu. Profesyonel destek almanızı öneririm.