v2.5.2
Giriş yap

Admin Paneli ve Normal Üye Paneli Güvenliği Hk.

r00t
416 defa görüntülendi

siteme ait, sitemin ön yüzünde kullanıcıların giriş yaptığı bir üye paneli;
ve siteye ait bir de admin paneli mevcut. login olurken;
$_SESSION["admin_login"] = true;

normal kullanıcı site ön yüzünden giriş yaparken de;
$_SESSION["user_login"] = true;

benzeri bir session tanımlayarak üye girişi yapılıp/yapılmadığını kontrol ediyorum.

Ancak merak ettiğim bir konu;

  • normal üye giriş yaptığı session ile, admin paneline erişebilir mi (session_id cachesini kullanarak vs.)
  • burada dikkat edilmesi gereken hususlar nelerdir?

teşekkürler

tayfunerbilen
666 gün önce

eger iki farklı yerde kullanıcılar aynı tabloada ise sen sadece girişleri ayırdıysan, o zaman kullanıcı adı ve parola ile normal bir üyede admin tarafından yönetici olarak girebilir.
ama eğer role gibi bir şeyin varsa ve admin girişinde role'e bakıyorsan sorun yok, ya da kullanıcılar ve yöneticiler iki farklı tabloysa yine sorun olmaz.
burada senin dikkat etmen gereken, xss açıkları olabilir, kullanıcıdan alacağın her datayı güvenlik gereği htmlspecialchars gibi metodlardan geçirebilirsin.