Php Oturumlarında Güvenlik

Aşağı Git Tüm Forumlar Web Tasarım - Programlama Yazılım Geliştirme PHP / CGI Php Oturumlarında Güvenlik

Bu konudaki kullanıcılar: 1 misafir

9
Cevap 1143
Tıklama 0
Öne Çıkarma

1. sayfa

Php Oturumlarında Güvenlik

Cevap Yaz

teknick

17 yıl

Yüzbaşı

Konu Sahibi

Merhaba arkadaşlar...
Kısaca soracağım...
Yapmakta olduğum bi web sitem var...
Bunun içerisinde şirket verileri de saklanacak ki önemli bilgiler olacak...
güvenlik için önerileriniz nelerdir?

MD5 mi SHA1 mi session id nin eksileri varmı bunlarla ilgili yorumlarınızı bekliyorum..
Teşekkürler...

DH forumlarında vakit geçirmekten keyif alıyor gibisin ancak giriş yapmadığını görüyoruz.

Üye olduğunda özel mesaj gönderebilir, beğendiğin konuları favorilerine ekleyip takibe alabilir ve daha önce gezdiğin konulara hızlıca erişebilirsin.

Üye Ol Şimdi Değil

Bir Daha Gösterme

orcnd

17 yıl

Yarbay

bildiğim kadarıyla md5 algoritması hala çözülmüş değil
genelde kullanılan sistem md5 ile şifrelenmiş id nin session aracılığıyla taşınması
öte yandan her veri girişini tek tek yazdığın özel bir kontrol fonksiyonundan geçirmen gerekicektir
bazı terminal programları ile browser dışından post işlemi yapılabiliniyor.
yine sql injection için tablo adlarının başına ön ad eklemelisin ( 213871298kullanici gibi tablo adları için)
dosya izinleri de iyi ayarlanmış olmalı tabiki
extra olarak robots.txt den gerekli dosyaların indexlenmemesi için önlem alabilirsin
bunun yanında include kullanıyorsan sadece include ile kullanılan dosyaların içine kendi adlarını taşıyan bir değişken atayıp sonrada php_self ile karşılaştırabilirsin böylece include dosyalarına doğrudan erişimi engellersin

veritabanı yetkileride iyi ayarlanmalı
eğer ben böyle birşey yazıyor olsaydım pc deki raid sistemini kullanırdım
yani çift database fakat birinde silme izni olmıyacak sadece silindiğini belirten bir boolean alan olacak
aradabir eşitleme yapılarak da databasedeki şişme engellenir

Bu mesaja 1 cevap geldi.

DeLLy®

17 yıl

Teğmen

MD5 De SHa1 de tek taraflı encodingdir. sadece rakamlardan oluşmadığı sürece tersinin buluması zordur.

Session + md5 demek güvenlik demek . iyi çalışmalar.

Bu mesaja 1 cevap geldi.

teknick

17 yıl

Yüzbaşı

Konu Sahibi

teşekkürler arkadaşlar...
Ayrıntılar için sizleri tekrar rahatsız edeceğim...
bu söyledikleriniz hakkında biraz daha araştırma yapmam gerekiyor...

Bu mesaja 1 cevap geldi.

Juduras

17 yıl

İkisinde de şifre 123456 gibi değilse çözülmesi çok zor,ancak md5leri çözmek imkansız da değil,sha1 'in çözülüp çözülmediği hakkında çok ayrıntılı bilgi bilmiyorum

Bu mesaja 1 cevap geldi.

orcnd

17 yıl

Yarbay

quote:

Orjinalden alıntı: Juduras

İkisinde de şifre 123456 gibi değilse çözülmesi çok zor,ancak md5leri çözmek imkansız da değil,sha1 'in çözülüp çözülmediği hakkında çok ayrıntılı bilgi bilmiyorum

MD5 algoritmasını tek yönlü olarak biliyordum nasıl çözülüyormuş
mesela şunu benim için bi çözebilirmisiniz (7271e2c872f5ce1f500f22af9b051b0e)

Bu mesaja 1 cevap geldi.

Juduras

17 yıl

Ben çözebilirim demedim ancak çözebilenler var , arkadaşıma verdim çözebilirse verecektir mutlaka,ancak dediğim gibi şifreniz güzel bi kombinasyonla yaratıldıysa bulması çok zor,basit olanları bulabiliyorlar,şifresini çok kısa tutan vBulletin kullanıcısı bi arkadaşım hacklenmişti mesela şov yaparken :) hackleyemezler diyordu

Bu mesaja 2 cevap geldi.

orcnd

17 yıl

Yarbay

tek çözüm yöntemi var oda muhtemel şifreleri parolaları md5 liyip siteye yazdığınız hash leri karşılaştırıyor
bunun önüne geçmek için global bir ön ad tanımlanırsa ve her güvenlik gereksiniminde kullanılırsa siteniz lamerlar tafından hacklenmez

bunlar ayar.php gibi her sayfaya include edilen bir sayfaya konmali

 
  $session_start(); 
  $admin_parolasi="123456" 
  $on_ad="Sen Başkasıııın, sen başkasııın, ah nafileee, sen başkasııın" 
  if (md5($on_ad.$admin_parolasi)==$_SESSION['cokgizlisifre']) { 
  $giris=true; 
  } else { 
  $giris=false;}

Girş Sayfasında giriş yapıldığında da bu

 
  $_SESSION['cokgizlisifre']=md5($on_ad . $admin_parolasi);

DeLLy®

17 yıl

Teğmen

quote:

Orjinalden alıntı: Juduras

Ben çözebilirim demedim ancak çözebilenler var , arkadaşıma verdim çözebilirse verecektir mutlaka,ancak dediğim gibi şifreniz güzel bi kombinasyonla yaratıldıysa bulması çok zor,basit olanları bulabiliyorlar,şifresini çok kısa tutan vBulletin kullanıcısı bi arkadaşım hacklenmişti mesela şov yaparken :) hackleyemezler diyordu

MD5 i Çözme Diye bişey yok. bulma vardır. mesela benim de localde şifre üretip MD5 ve SHA1 ini saklayan bir scriptim var. 800.000 şifreyi geçmiş bunların 1 tanesinin MD5 ini denesem bulucam. Çözüyo dediklerini boyle Buluyo.

Bu mesaja 1 cevap geldi.

orcnd

17 yıl

Yarbay

quote:

Orjinalden alıntı: DeLLy®

quote:

Orjinalden alıntı: Juduras

Ben çözebilirim demedim ancak çözebilenler var , arkadaşıma verdim çözebilirse verecektir mutlaka,ancak dediğim gibi şifreniz güzel bi kombinasyonla yaratıldıysa bulması çok zor,basit olanları bulabiliyorlar,şifresini çok kısa tutan vBulletin kullanıcısı bi arkadaşım hacklenmişti mesela şov yaparken :) hackleyemezler diyordu

MD5 i Çözme Diye bişey yok. bulma vardır. mesela benim de localde şifre üretip MD5 ve SHA1 ini saklayan bir scriptim var. 800.000 şifreyi geçmiş bunların 1 tanesinin MD5 ini denesem bulucam. Çözüyo dediklerini boyle Buluyo.

Ön Ad kullanımı işte bu yüzden önemli çünkü girilen metin kaç karakter olursa olsun md5 çıkışı 32 aynı karakter sayısındadır her şifre başına "asla bulamıcan ha ha ha" şeklinde rasgele yazılmış mantığı olmayan bir cümle,kelime yada harf getirilirse bu tür şifre saklayan veritabanlarına sahip siteler hiçbir risk faktörü oluşturmaz

Cevap Yaz

1. sayfa

Tüm Forumlar Web Tasarım - Programlama Yazılım Geliştirme PHP / CGI Php Oturumlarında Güvenlik