Duyuruyu Kapat
Facebook Gözat
Twitter Gözat

Session sorusu

Konu, 'PHP' kısmında Sahin tarafından paylaşıldı.

  1. Sahin

    Sahin Daimi Üye

    Kayıt:
    28 Mayıs 2002
    Mesajlar:
    8,943
    Beğenilen Mesajlar:
    0
    Sessionla bir şifreli sayfa yaptığımızı var sayıyorum. Buna adresi bile bir kişinin herhangi bir şekilde erişimi mümkünmü? Ya da en güvenli şekilde şifreli sayfaları nasıl yaparız?
     
  2. redial

    redial Misafir

    Tam olarak neyi sordugunu anlamadim ama, anladigim seye cevap vereyim...

    Diyelimki sifreli bir say yapmak istiyorsun...

    Kullanici ik geldiginde, henuz giris yapmadigina gore once giris yapmasini isteyecegiz...

    Peki bunu nerden anlayacagiz...

    Ornegin, cookie sine bir goz atip, ceviz_session_id degerini bakabiliriz, eger bos donerse kullaniciya sifre soracagiz, kullanicinin yazdigi sifreyi, ilgili sessiona kaydedip, ceviz_sessinon_id= $id dersek, kullanicinin login detayini istedigimiz yerde takip edebiliriz...

    Bu durumda,
    PHP:
    if (!$ceviz_session_id) {
        echo (
    " iyide, siz henuz login olmamissiniz
    <br>
    //buraya login formunu koymak iyi fikir
    <br>
    "
    );
    //oldurelim bunu
    die;
    }
    echo 
    "Tebrikler... ";
    benzeri bir yapiyi; sifrelemek istedigimiz sayfalarin basina koyarak; basit bir cozum elde ederiz...

    Ama burada esas onemli konu; session guvenligi, zira sessionlar genelde /tmp dizininde tutluyor, ve en iyimser ihtimalle root user tarafindan okunabiliyor... Bu nedenle session da saklanacak datanin bir sekilde sifrelenmis olmasi; ya da session datasinin bir veritabani sunucusunda saklanmasi akla gelebilir. Ama ornegin veritabani sunucunda saklandigi takdirde ise, risk aslinda katlanir, zira kullandiginiz sunucu da ortaya cikabilecek guvenlik problemleri olayi daha da icinden cikilmaz hale getirebilir...


    Session guvenligi tartisilan bir konu olmakla beraber, cookie ler yerine sessinolarin daha avantajli oldugu kabul edilen bir gercektir...

    Bunun disinda sizin sessionu, cookie yi kullanma mantiginiz da onemlidir, Sozgelimi, kullanici isimklerini ve/veya sifrelerini cookie lerde duz metin olarak saklayan uygulamalar hala mevcuttur.

    Sonuc olarak, sanirim. burada tartismamiz gereken. kotu niyetli kisinin isini ne kadar zorlastirabiliriz olmali...

    Umarim cok alakasiz olmamistir :)
     
  3. mkarabulut

    mkarabulut Misafir

    üstad redial, hassasiyetinizi anlamakla beraber, bence şahin abinin sorunu bu değildi gibi geliyor bana...

    Şahin abi,session ile korunan bir sayfa kodlamada açık yapılmamışsa adresi herhangi bir kişiin bilmesi normal şartlarda* önemli değildir.

    *: Normal şartlara server erişimi olan birisinin,tmp klasörüne bakması gibi şeyler dahil değildir. :)