Güvenlik ve Cookie Yöntemi.
Cookie kullanıp güvenlik ihlalerine yol açmadan kullanıcı girişi ve cookie kaydı hakkında özel bir yöntem varmıdır yada kullanılan ve güvenlik konusunda problemi olmayan güvenilir bir yöntem önerebilirmisniz.
Cookiede ne bulunmalıdır ve neyi kontrol etmeliyiz kullanıcının aktif olabilmesi için.
SESSION
Ben SESSION kullanıyorum.
Tavsiye ederim.
Kullanıcı adı, şifre girildikten sonra kontrolleri yaptığı sayfa:
login.php
<?
include ("vt.php");
$kad = $_POST['kad'];
$ksifre = $_POST['ksifre'];
$ksifre=md5($ksifre);
$sorgu=mysql_fetch_array(mysql_query("select * from uyeler where ad='$kad'"));
if ((!empty($kad) && !empty($ksifre)) && ($kad==$sorgu['ad'] && $ksifre==$sorgu['sifre']))
{
session_start();
$_SESSION['kontrol']="aktif";
$_SESSION['kad']=$kad;
echo "<META HTTP-EQUIV=Refresh CONTENT=\"1; URL=index.php\">Giriş yaptınız.<br><br>Ana sayfaya yönlendiriliyorsunuz...";
}
else
header('location:giris_form.php?action=HATA');
?>
Ana sayfamızı sadece üyeler görebilsin
index.php
<?php
session_start();
$kontrol=$_SESSION['kontrol'];
$kad=$_SESSION['kad'];
if ($kontrol!="aktif")
echo "Bu Sayfayı görüntülemeye yetkiniz yok.<br><a href=giris_form.php>GİRİŞ YAP</a>";
else
echo "Hoşgeldiniz : " . $kad . "<br><a href=cikis.php>ÇIKIŞ</a>";
?>
Kaldı Çıkış
cikis.php
<?php
session_start();
session_destroy();
echo "<META HTTP-EQUIV=Refresh CONTENT=\"1; URL=index.php\">Çıkış yaptınız.<br><br>Ana sayfaya yönlendiriliyorsunuz...";
?>
Hepsi bu kadar.
Buralarıda bi incele
https://phpkodlari.com/php/session_start
https://phpkodlari.com/php/session_destroy
Arkadaşım sessionları biliyorum da bu sessionların hafızada kalma süresi hakkında bir bilgin var ise ancak bana yardıme edebilirsin.. Sessionlar sunucuda oluşan bir bilgidir ve zaman aşımı süresini uzatabilceğim bişey yok gibi geldi araştırmalarıma göre..
Cookie ile oturum işlemleri yapılmalı çok sağlamda olacak ama birde güvenebilinecek birşey olduğunu düşünsem başlıycam.
Sanki güvensizmiş gibi geliyor bana nede olsa bilgisayarda bir dosya ben oraya bir sayı versem ve bu sayı 1 ise oturum açık desem ve bu da kötü niyetli biri tarafından çözülse gelde bu kuyuyu kapat hadi...
session oluşturup cookie ve sessiona a aynı değeri atayıp bunları kontrol ettirsem oturum açtıktan sonra değişme ihtimaline karşı...
buda yemez sonuçta session un bir süresi var o bittikten sora yine oturum kapanır..
::D :? ne yapılmalı bilmiyorum..
COOKIE yi bi ufak yöntem söylense yaparım aslında ama bizahmet sölense...
rahat
Nursin tüm siteler cookie kullanır. güvenlik için belirli zamanlarda cookie bilgilerini yenilemek yeterlidir. ek olarak şunlar faydalı olur:
* Her gün cookie içeriği değiştirilmelidir. tabii bunu kullanıcıya hissettirmeden yapmak lazım.
* üye şifresini değişirken eski şifreyi de sormak şarttır. böylece bilgisayarı açık gören biri şifreyi değişemez.
Benim uyguladığım şu:
1- Login sırasında cookie atılır
2- Cookie tanındıktan sonra session açılır. böylece her saniye çerez ve veritabanı yoğunluğu olmaz
3- cookie değişkeni ve veritabanındaki şifre kodlanır, böylece veritabanı toptan çalınsa bile şifre çalınamaz.
