Admin Paneli ve Normal Üye Paneli Güvenliği Hk.
siteme ait, sitemin ön yüzünde kullanıcıların giriş yaptığı bir üye paneli;
ve siteye ait bir de admin paneli mevcut. login olurken;
$_SESSION["admin_login"] = true;
normal kullanıcı site ön yüzünden giriş yaparken de;
$_SESSION["user_login"] = true;
benzeri bir session tanımlayarak üye girişi yapılıp/yapılmadığını kontrol ediyorum.
Ancak merak ettiğim bir konu;
- normal üye giriş yaptığı session ile, admin paneline erişebilir mi (session_id cachesini kullanarak vs.)
- burada dikkat edilmesi gereken hususlar nelerdir?
teşekkürler
Soru hatalı mı? 👎
Eğer sorunun kurallara aykırı olduğunu düşünüyorsanız lütfen bize bildirin!
Cevaplar (4)
eger iki farklı yerde kullanıcılar aynı tabloada ise sen sadece girişleri ayırdıysan, o zaman kullanıcı adı ve parola ile normal bir üyede admin tarafından yönetici olarak girebilir.
ama eğer role gibi bir şeyin varsa ve admin girişinde role'e bakıyorsan sorun yok, ya da kullanıcılar ve yöneticiler iki farklı tabloysa yine sorun olmaz.
burada senin dikkat etmen gereken, xss açıkları olabilir, kullanıcıdan alacağın her datayı güvenlik gereği htmlspecialchars
gibi metodlardan geçirebilirsin.
neden iki panel kullanıyorsun ? adminin panelin şifresini user dan mı ayırmaya çalışıyorsun?
eğer önemsizse
mysql e access diye tablo eklersin.
hangi userların admin panele erişebileceğini oradan yönetirsin
sessionı da
$_SESSION["login"] = "true,false"; // 1. login olup olmadığı 2. admin panele erişimi olup olmadığı
bu şekilde süzer ona göre giriş çıkışı kontrol edebilirsin
yok birbirini etkilemez, bunu denemek icin birini normal digerini gizli sekmeden girip deneyebilirsin, session'lar farkli olacagi icin birbiriyle alakasi olmayacak, en kotu 2 farkli tarayicidan girip deneyebilirsin :)
@tayfunerbilen bir soru daha;
geliştirme yaparken hem /panel tarafında login olup, hem de site tarafında kullanıcı olarak login çalışma yapmak istediğimde; hangi tarafa girersem, öbür tarafın logini direkt olarak logout oluyor. Muhtemelen login kısmında "session_regenerate_id()" kullandığım için.
- Bu sadece benim cihazımda, iki tarafa da giriş yapabildiğim için oluyor sanırım; yani PROD'a aldığım zaman, her login olan üye birbirini etkileyemeyecektir zaten değil mi?