Merhaba değerli forum üyeleri, bu konuda sizlere ajax kullanırken yaşadığım bir sorundan bahsedeceğim.
Ajax veriyi gönderiyor ama ziyaretçi olarak gönderiyor yani kullanıcı değil. Bundan dolayı bende GET metodu ile kullanıcı kimliğini çekeyim dedim fakat böyle yapınca da hackerlar bunu kullanarak başka kullanıcı adına veri yollayabilir. Bu çok ciddi bir güvenlik açığı.
Dinamik bir sohbet sistemi kodladım fakat böyle bir durum oluştu. Bu sorunu nasıl gideririm? Sunucu çerezi diye bir şey var mı?
Ajax ile Kullanıcı Verilerini Korumak |
11 Mesajlar | 1.735 Okunma | ||
- Üyelik 07.10.2013
- Yaş/Cinsiyet 26 / E
- Meslek Bilgisayar Programcısı
- Konum Giresun
- Ad Soyad M** E**
- Mesajlar 648
- Beğeniler 181 / 81
- Ticaret 5, (%100)
- Üyelik 22.01.2019
- Yaş/Cinsiyet - /
- Meslek
- Konum
- Ad Soyad ** **
- Mesajlar 257
- Beğeniler 68 / 43
- Ticaret 0, (%0)
[javascript]
function mesajGonder(){
$.ajax({
url : mesajin_gonderilecegi_url,
method : “post”,
data : {
mesaj : $(“.mesaj-textarea”).val()
},
success : function(response){
}
});
}
[/javascript]
mesaji bu sekilde post ile gonderebilirsiniz isterseniz sohbete baslamadan once bir tane isim girmesini isteyebilirsiniz ziyaretciden daha sonra bir session olusturup rastgele bi token atayıp o tokeni de mesajin yaninda gondererek bir kullanici ya tanimlayabilirmisiniz vs.
function mesajGonder(){
$.ajax({
url : mesajin_gonderilecegi_url,
method : “post”,
data : {
mesaj : $(“.mesaj-textarea”).val()
},
success : function(response){
}
});
}
[/javascript]
mesaji bu sekilde post ile gonderebilirsiniz isterseniz sohbete baslamadan once bir tane isim girmesini isteyebilirsiniz ziyaretciden daha sonra bir session olusturup rastgele bi token atayıp o tokeni de mesajin yaninda gondererek bir kullanici ya tanimlayabilirmisiniz vs.
- Üyelik 07.10.2013
- Yaş/Cinsiyet 26 / E
- Meslek Bilgisayar Programcısı
- Konum Giresun
- Ad Soyad M** E**
- Mesajlar 648
- Beğeniler 181 / 81
- Ticaret 5, (%100)
[javascript]
function mesajGonder(){
$.ajax({
url : mesajin_gonderilecegi_url,
method : “postâ€,
data : {
mesaj : $(“.mesaj-textareaâ€).val()
},
success : function(response){
}
});
}
[/javascript]
mesaji bu sekilde post ile gonderebilirsiniz isterseniz sohbete baslamadan once bir tane isim girmesini isteyebilirsiniz ziyaretciden daha sonra bir session olusturup rastgele bi token atayıp o tokeni de mesajin yaninda gondererek bir kullanici ya tanimlayabilirmisiniz vs.
function mesajGonder(){
$.ajax({
url : mesajin_gonderilecegi_url,
method : “postâ€,
data : {
mesaj : $(“.mesaj-textareaâ€).val()
},
success : function(response){
}
});
}
[/javascript]
mesaji bu sekilde post ile gonderebilirsiniz isterseniz sohbete baslamadan once bir tane isim girmesini isteyebilirsiniz ziyaretciden daha sonra bir session olusturup rastgele bi token atayıp o tokeni de mesajin yaninda gondererek bir kullanici ya tanimlayabilirmisiniz vs.
Ama ziyaretçinin yanı sıra kullanıcılar da mesaj atabiliyor. Bu üstteki kod JQuery ama ben tamamen kendim kodluyorum. Ek olarak GET metodu ile token göndermek bir açık oluşturmaz değil mi? SSL kullanıyorum.
- Üyelik 06.06.2019
- Yaş/Cinsiyet 19 / E
- Meslek Öğrenci
- Konum Diğer
- Ad Soyad B** G**
- Mesajlar 1002
- Beğeniler 250 / 478
- Ticaret 41, (%100)
Ama ziyaretçinin yanı sıra kullanıcılar da mesaj atabiliyor. Bu üstteki kod JQuery ama ben tamamen kendim kodluyorum. Ek olarak GET metodu ile token göndermek bir açık oluşturmaz değil mi? SSL kullanıyorum.
Şöyle olsun. Siteye giren herkes için session oluşsun.
Eğer oturum açar ise kullanıcı sessionda user verisi dolsun.
Ajax ile mesajgonder.php dosyasına istek gidiyor olsun mesela.
session_start();
if(isset($_SESSION['user'])) {
// Giriş yapmış kullanıcı.
}
else {
// Misafir kullanıcı
}
Kod sadece örnek amaçlıdır, kendi kodunuzu paylaşırsanız ona göre yorum yapabiliriz.
- Üyelik 07.10.2013
- Yaş/Cinsiyet 26 / E
- Meslek Bilgisayar Programcısı
- Konum Giresun
- Ad Soyad M** E**
- Mesajlar 648
- Beğeniler 181 / 81
- Ticaret 5, (%100)
Şöyle olsun. Siteye giren herkes için session oluşsun.
Eğer oturum açar ise kullanıcı sessionda user verisi dolsun.
Ajax ile mesajgonder.php dosyasına istek gidiyor olsun mesela.
session_start();
if(isset($_SESSION['user'])) {
// Giriş yapmış kullanıcı.
}
else {
// Misafir kullanıcı
}
Kod sadece örnek amaçlıdır, kendi kodunuzu paylaşırsanız ona göre yorum yapabiliriz.
Eğer oturum açar ise kullanıcı sessionda user verisi dolsun.
Ajax ile mesajgonder.php dosyasına istek gidiyor olsun mesela.
session_start();
if(isset($_SESSION['user'])) {
// Giriş yapmış kullanıcı.
}
else {
// Misafir kullanıcı
}
Kod sadece örnek amaçlıdır, kendi kodunuzu paylaşırsanız ona göre yorum yapabiliriz.
Sorun da burada. Ajax ile farklı bir PHP dosyasına veri gönderince session işleminin bir anlamı kalmıyor ki. Ziyaretçi olarak gözüküyor.
- Üyelik 06.06.2019
- Yaş/Cinsiyet 19 / E
- Meslek Öğrenci
- Konum Diğer
- Ad Soyad B** G**
- Mesajlar 1002
- Beğeniler 250 / 478
- Ticaret 41, (%100)
Sorun da burada. Ajax ile farklı bir PHP dosyasına veri gönderince session işleminin bir anlamı kalmıyor ki. Ziyaretçi olarak gözüküyor.
Session o anki alan adında geçerlidir, PHP dosyasıyla alakası yok yani. Eğer çalışmıyorsa kodlarda sorun vardır.
- Üyelik 07.10.2013
- Yaş/Cinsiyet 26 / E
- Meslek Bilgisayar Programcısı
- Konum Giresun
- Ad Soyad M** E**
- Mesajlar 648
- Beğeniler 181 / 81
- Ticaret 5, (%100)
Session o anki alan adında geçerlidir, PHP dosyasıyla alakası yok yani. Eğer çalışmıyorsa kodlarda sorun vardır.
Tamamdır, bugün gün içerisinde test edince bildireceğim.
- Üyelik 07.10.2013
- Yaş/Cinsiyet 26 / E
- Meslek Bilgisayar Programcısı
- Konum Giresun
- Ad Soyad M** E**
- Mesajlar 648
- Beğeniler 181 / 81
- Ticaret 5, (%100)
Session o anki alan adında geçerlidir, PHP dosyasıyla alakası yok yani. Eğer çalışmıyorsa kodlarda sorun vardır.
Yine aynı sorun. Bu kodu çalıştırıyorum ama oturumlar alınmıyor, üye ziyaretçi olarak gözüküyor.
<script>
function Update()
{
if(event.keyCode == 13)
{
var xhttp = new XMLHttpRequest();
xhttp.function()
{
if (this.readyState == 4 && this.status == 200)
{
document.getElementById('chat-view').innerHTML = '';
document.getElementById('chat-view').innerHTML = this.responseText;
}
};
var chat = document.getElementById('chat').value;
xhttp.open('GET', 'Ajax.php?get=chat, true);
xhttp.send();
}
}</script>$username = $_SESSION["username"];
$userid = $_SESSION["userid"];
echo("$username ve $userid"); - Üyelik 07.10.2013
- Yaş/Cinsiyet 26 / E
- Meslek Bilgisayar Programcısı
- Konum Giresun
- Ad Soyad M** E**
- Mesajlar 648
- Beğeniler 181 / 81
- Ticaret 5, (%100)
Session başlatma kodunu unutmuşum. Küçücük bir hataymış. Sorun çözüldü, iyi günler dilerim. :)
- Üyelik 24.08.2018
- Yaş/Cinsiyet 28 / E
- Meslek Maliyeci
- Konum Uşak
- Ad Soyad L** H**
- Mesajlar 890
- Beğeniler 109 / 319
- Ticaret 8, (%100)
Ama ziyaretçinin yanı sıra kullanıcılar da mesaj atabiliyor. Bu üstteki kod JQuery ama ben tamamen kendim kodluyorum. Ek olarak GET metodu ile token göndermek bir açık oluşturmaz değil mi? SSL kullanıyorum.
Tokeni geri dönüşümsüz şifrelelerseniz(örn. Md5) sıkıntı olacağını düşünmüyorum.
Kullanıcılara md5 bir hash atayın. Ve bunu sql de kaydedin. Sonra her postta bu hash ile sorgulama yapıp kullanıcı idsini bulun. Ayrıca ajax ile yollasan bile kullanıcı verileri kaybolmaz diye düşünüyorum. Sanırım kodlarınızda bir hata var.