PHP Session güvenliği
PHP Sessionlarının dosyalarda tutulduğunu gördüm. Bu yüzden kafama bir soru takıldı. Ben kullanıcının kredi kartı bilgilerini vs. ödeme yapabilmek için sessionda tutuyorum. Ancak bunları session dosyalarına erişen birisi otomatik olarak görebiliyor. Bunu nasıl engelleyebilirim veya session dosyaları çok eski kayıtları siliyor mu ? Bu arada sipariş bitiminde bütün sessionları unset ile siliyorum.
Soru hatalı mı? 👎
Eğer sorunun kurallara aykırı olduğunu düşünüyorsanız lütfen bize bildirin!
Cevaplar (1)
Sesionlar tarayıcı kapatıldığında silinir. Ekstra olarak yedeklenmez. Sesion unset yapmak sizin belirlediğiniz anda silinmesini sağlar.
Sesionlar için ekstra güvenliği şifreleme algoritmaları ile çözebilirsiniz.
Bir örnek vereyim. Kullanıcının ip adresini alırsın(örnek ip: 123.12.123.12) bu ip adresini kredi kartı ile birleştirip şifrelersin.
$ip = '123.12.123.12';
$creditInfo = 'credits';
$_SESION['creditIndo'] = base64_encode($ip.'$/$'.$creditInfo);
// Kullanırken ise
$credit = base64_decode($_SESION['creditIndo']);
$credit = explode('$/$',$credit)[0];
Buradaki mantık kullanıcının o anki ip adresine göre ekstra güvenlik oluşturmaktır. Fakat burada kullandığım base64 şifrelemesi oldukça güvensizdir. Bunlar yerine daha güvenli algoritmalar kullanmalısınız.
Ayrıca durum her ne olursa olsun %100 güvenlik sağlanamaz. Tavsiyem sanal pos kullanman.
Sanal pos hizmetleri güvenli kredi kartı bilgilerini saklıyor.