Session kontrol
Arkadaşlar burada _SESSION dolu mu boş mu diye bir giriş kontrolü yaptırıyorum fakat bunun bir açığı olur mu karşı taraf _SESSİON içinde ["useruid"] kontrol ettirdiğimi öğrenebilir mi? Kontrolü dolu mu boş mu diye yaptırdığım için _SESSION ["useruid"]'içerisine herhangi bir değer atayıp girmesini istemediğimiz yere girebilir mi?
<?php
if(!isset($_SESSION["useruid"])){
}
else
{
header("location: ../index.php");
exit();
}
?>
?>
Videoda aşırı amatörce bir anlatım var. Çok yanlış bir bilgi veriliyor. Session başlatıp session adına değer atadığı php sayfasına zaten kodlayan adamın yazma yetkisi var. Yani şöyle söyleyeyim, adam kendi sessionını manipüle etmek için yine kendi sitesindeki bir php sayfasına kod yazıyor. Dışardan gelen hiçbir şey sessionu etkiyelemez. Tabi hocamızın da dediği gibi session id çalınır sızdırılırsa ayrı. Ya da çerez kullanılırsa site dışında siteye çerez atamak eklentilerle çok kolay. Ama elinde tuttuğun session ismine istersen username de istersen kullaniciadi. İstediğin ismi vermekte özgürsün. Birileri benim sessionumu manipüle eder mi diye düşünme. Buna kimse etki edemez.