From: C.Hakan POLATKAN (hakanpolatkan@efsanelinux.org)
Date: Thu 27 May 2004 - 16:00:21 EEST
Merhaba,
session kontrolleri kullanmaniz durumunda maxlifetime belirlersiniz. Bu
surenin asiminda session otomatik olarak gecerligini yitirir. Bunu
kontrol etmek icin illa bir daemon, script gerekmez. Session
gercerliligini kaybettikten sonra(suresel olarak) gelecek bir istekte
sure asimi olmus ise sanki session varmis gibi islem yapilmaz. Bu tip
kontrolleri php'nin kendisi zaten yapiyor.
Ayrica session icin register edilen degiskenler (session_register()
fonksiyonundan bahsetmiyorum) kullanici tarafindan "degistirilemez".
Hazirladiginiz scripte form alanlarindan gelebilecek bir saldiri ya da
local erisim olmadigi surece session degiskenlerinin durumu
guvenilirdir. Zaten uygulamanizin guvenligini dusunmek te sizin
isinizdir. Kullanicilarin zararli kod parcaciklarini formlar, adres
cubugu vs. gibi ortamlardan calistirmalarini engelleyecek filtrelere
sahip olmaniz gerekmektedir. Bu session icin degil, her turlu durum icin
sarttir.
PHPSESSID vs. gibi degiskenleri kullanicinin elle olusturmasina(istemci
tarafindan) imkan yoktur(varsa zaten bir guvenlik acigidir :). Ayrica bu
degerleri kullanicinin hic goremeyecegi bir bicimde tasiyabilirsiniz.
Hoscakalin.
C.Hakan POLATKAN
----------
Guray Satici wrote:
> Bi saniye peki istemcide cookie ler aktif degilse nasil yapicak??
> Zaten benim Oturum ID degeri uretip bunu POST ve GET ile surekli
> dolandirmamin asil sebebi bu ...
> Cookie kullanmaktan onun icin kaciyorum ..
> Dediginiz cookie kullanirsam bunun zamanini belirleyip o zaman sonra devre
> disi kalmasini saglayabilirim ama olusan bir degeri veritabanina
> yaziyorsunuz ve diyelim ayrica bunun olusturma tarihini de veritabanina
> aktariyorsunuz diyelim ... peki uye browser i kapattigi anda bunu nasil
> algilayip oturum ID degerini sifirliyorsunuz?
> Yada sureli bir islem yaptiniz diyelim??
> bunun icin php yi bildigim kismi ile sistem uzerinde yani script gibi
> calistirmaniz gerektigi kanisindayim web uzerinden bu sureyi hesaplatip
> sifirlamaniz baya satafatli gibi gozukuyor?
> yani cron da calisan bir uygulama gibi bir sey olmasi gerekiyor ve
> veritabanindaki bu Oturum ID olusturma surelerini kontrol edip yarim saat
> gectigi takdirde ve bir islem olmadigi zaman degeri sifirlamaniz gerekiyor
>
> Eger bu islemi web uzerinden yapabiliyorsaniz .. bu uygulamanizi ben de
> gormek isterim ...
>
> ayrica session kullanarak bu degeri sifirlamaniz da pek mumkun degil
> gibii .. sadece yeni bir browser acilip ayni kullanici sisteme login
> oldugunda degerin farkli oldugu gorulup .. degistirilmesi mumkun gibi
> gozukuyor ... Denemedigim ve kullanmadigim icin sadece fikir
> yurutebiliyorum .. ama veritabanina browser kapaninca mudahale edebilecegi
> pek ihtimallerim arasinda yer almiyor ...
>
>
>
>
>
>
> On Thu, 27 May 2004 15:17:11 +0300, Umut wrote
>
>>Umarim sorularinizi yanlis anlamamisimdir
>>
>>Guray Satici wrote:
>>
>>
>>>cookie kullanmaktan itinayla kaciyorum zaten ...
>>>Oturum ID degerini su an adres satirindan ve formlarda POST metoduyla
>>>surekli sayfada dolandiriyorum ... Su an bu sekilde calisan bir Oturum
>>>Yonetimine zaten sahibim ...
>>>
>>
>>Sizin kullandiginiz sistemin bence en buyuk zorlugu butun linklere
>>ve form action lara oturum id sini eklemek gerekliligidir.
>>
>>
>>>
>>>Benim merak ettigim .. session kullanmam bana extra bi avantaj katar mi?
>>>Yada guvenlik bakimindan sizce hangisi daha iyidir?
>>>Oturum ID donderme mi surekli? Yoksa session kullanma mi??
>>>
>>>Bu konuda yardimci olabilirseniz dah cok sevinirim ..
>>>
>>
>> PHP nin oturum fonksiyonlari oturum id sini cookie ile istemcide
>>tutarak adres satirini yada form la postu kullanmadan oturum
>>islemlerini yapar. cookie kullanmanin en onemli faydasi istemciye
>>bilgi kaydedip daha sonra onu kullanabilmektir. Guvenlik acisindan
>>cookie ye olabildigince az bilgi atmak gerekir.
>>
>>
>>>cookie olayina hic girmiyorum zaten ...
>>>
>>>Ayrica merak ettigim bir nokta daha var
>>>Oturum ID ayni zamanda veritabanina yaziliyor .. ve kullanici
>
> Cıkıs butonu
>
>>>veya linkine basmadan bu Oturum ID degeri sifirlamiyor ...
>>>Boyle bir durumda ne yapmam lazim ???
>>>Oturum ID yi belli bir sure sonunda sifirlamam gerekiyor ... Bu is icin
>>>procedure kullanmam gerekiyor gibi gozukuyor .. ama veritabani olarak
>
> MySQL
>
>>>mevcut shu an ...
>>>
>>>
>>
>>Bu cesit bir oturum yonetimi kullanmistim daha once. idleri
>>sifirlama konusuna gelince bir sure belirleyin ve bu sura icinde hic
>>islem yapmayan isleri silin. Ben bu sorunu oyle cosmustum (Benim
>>surem oturumun sonlanma suresi ile ayniydi ve her islem yapildiginda
>>veritabaninda oturum tablosunda oturum id sine ait olan bir zaman
>>alanini guncelliyordum).
>>
>
>
>
>