Sessionlar kullanıcı tarafından okunabilir/değiştirilebilir mi?

Anonim 1267 gün önce

492 defa görüntülendi ve 1 kişi tarafından değerlendirildi

1- PHP ile formda input seçimlerini (ürün seçenekleri var) JSON formatında Ajax ile PHP dosyama iletiyorum;
2- PHP dosyamda, kullanıcıdan ürün seçimleri inputundan aldığım JSON verileri ile bir fiyat hesaplaması yapıyorum; burada elimde kullanıcının $fiyat, $ad_soyad, $tel, $email... gibi bilgilerinin olduğu değişkenler oluşuyor...
3- Elimdeki bu bilgileri, sanal pos ödemesi için kullanacağım iframe sayfasına yönlendirmem ve orada kullanmam gerekiyor... Ancak ajax post ile aldığım bu hassas verileri; ödeme sayfasına nasıl taşıyabilirim?

Soru1: Adım 2'de elimdeki değişkenleri SESSION'a atadıktan sonra Sanal Pos Ödeme.php sayfasında kullanmamım bir sakıncası olur mu? Yani art niyetli kullanıcı bu session verilerine ulaşıp fiyat bilgisini değiştirebilir mi?

Soru2: Siz böyle bir senaryoyu nasıl kurgulardınız? En az risk ile, post verilerini nasıl taşımamı önerirsiniz? Ne yapmalıyım?

Soru hatalı mı? 👎

Eğer sorunun kurallara aykırı olduğunu düşünüyorsanız lütfen bize bildirin!

Spam olarak işaretle

Cevaplar (3)

kartal

1267 gün önce

Evet cookie ler hassas bilgiler içermemeli. Bunun yerine sunucuda çalışan session kullanılmalı. Ama session ların güvenliği tamamen senin yazdığın kod kadar güvenli olacaktır. Session güvenliği diye arattırsın.

#005256

obey00

1267 gün önce

Yani örnek veriyorum: kullanici_adi, adres, telefon, email, toplam_tutar... gibi değişkenleri Session ile farklı bir sayfaya taşıdığım zaman; tüm bunların hepsi sunucu tarafından "session_id" adı altında mı toplanıyor? Cookie'de çünkü öğe denetle üzerinden kayıtlı verileri görüp silip değiştirebiliyorduk?

#005241

mertcalkan

1267 gün önce

Sessionlar sunucu tarafında depolandığı için kullanıcı tarafından, isteğe bağlı ne okuyabilir ne değiştirebilir.

#005240