v2.5.2
Giriş yap

Admin Paneli ve Normal Üye Paneli Güvenliği Hk.

r00t
415 defa görüntülendi

siteme ait, sitemin ön yüzünde kullanıcıların giriş yaptığı bir üye paneli;
ve siteye ait bir de admin paneli mevcut. login olurken;
$_SESSION["admin_login"] = true;

normal kullanıcı site ön yüzünden giriş yaparken de;
$_SESSION["user_login"] = true;

benzeri bir session tanımlayarak üye girişi yapılıp/yapılmadığını kontrol ediyorum.

Ancak merak ettiğim bir konu;

  • normal üye giriş yaptığı session ile, admin paneline erişebilir mi (session_id cachesini kullanarak vs.)
  • burada dikkat edilmesi gereken hususlar nelerdir?

teşekkürler

Cevap yaz
Cevaplar (4)
tayfunerbilen
666 gün önce

eger iki farklı yerde kullanıcılar aynı tabloada ise sen sadece girişleri ayırdıysan, o zaman kullanıcı adı ve parola ile normal bir üyede admin tarafından yönetici olarak girebilir.
ama eğer role gibi bir şeyin varsa ve admin girişinde role'e bakıyorsan sorun yok, ya da kullanıcılar ve yöneticiler iki farklı tabloysa yine sorun olmaz.
burada senin dikkat etmen gereken, xss açıkları olabilir, kullanıcıdan alacağın her datayı güvenlik gereği htmlspecialchars gibi metodlardan geçirebilirsin.

istek61
666 gün önce

neden iki panel kullanıyorsun ? adminin panelin şifresini user dan mı ayırmaya çalışıyorsun?
eğer önemsizse
mysql e access diye tablo eklersin.
hangi userların admin panele erişebileceğini oradan yönetirsin

sessionı da

$_SESSION["login"] = "true,false"; // 1. login olup olmadığı 2. admin panele erişimi olup olmadığı
bu şekilde süzer ona göre giriş çıkışı kontrol edebilirsin

tayfunerbilen
666 gün önce

yok birbirini etkilemez, bunu denemek icin birini normal digerini gizli sekmeden girip deneyebilirsin, session'lar farkli olacagi icin birbiriyle alakasi olmayacak, en kotu 2 farkli tarayicidan girip deneyebilirsin :)

r00t
666 gün önce

@tayfunerbilen bir soru daha;
geliştirme yaparken hem /panel tarafında login olup, hem de site tarafında kullanıcı olarak login çalışma yapmak istediğimde; hangi tarafa girersem, öbür tarafın logini direkt olarak logout oluyor. Muhtemelen login kısmında "session_regenerate_id()" kullandığım için.

  • Bu sadece benim cihazımda, iki tarafa da giriş yapabildiğim için oluyor sanırım; yani PROD'a aldığım zaman, her login olan üye birbirini etkileyemeyecektir zaten değil mi?