lostyazilim
tr.link

Ajax ile Kullanıcı Verilerini Korumak

11 Mesajlar 1.744 Okunma
acebozum
tr.link

mucosoft mucosoft Mucosoft Kullanıcı
  • Üyelik 07.10.2013
  • Yaş/Cinsiyet 26 / E
  • Meslek Bilgisayar Programcısı
  • Konum Giresun
  • Ad Soyad M** E**
  • Mesajlar 648
  • Beğeniler 181 / 81
  • Ticaret 5, (%100)
Merhaba değerli forum üyeleri, bu konuda sizlere ajax kullanırken yaşadığım bir sorundan bahsedeceğim.

Ajax veriyi gönderiyor ama ziyaretçi olarak gönderiyor yani kullanıcı değil. Bundan dolayı bende GET metodu ile kullanıcı kimliğini çekeyim dedim fakat böyle yapınca da hackerlar bunu kullanarak başka kullanıcı adına veri yollayabilir. Bu çok ciddi bir güvenlik açığı.

Dinamik bir sohbet sistemi kodladım fakat böyle bir durum oluştu. Bu sorunu nasıl gideririm? Sunucu çerezi diye bir şey var mı?
 

 

wmaraci
reklam

101222 101222 WM Aracı Anonim Üyelik
  • Üyelik 22.01.2019
  • Yaş/Cinsiyet - /
  • Meslek
  • Konum
  • Ad Soyad ** **
  • Mesajlar 257
  • Beğeniler 68 / 43
  • Ticaret 0, (%0)
[javascript]
function mesajGonder(){
$.ajax({
url : mesajin_gonderilecegi_url,
method : “post”,
data : {
mesaj : $(“.mesaj-textarea”).val()
},
success : function(response){
}
});
}
[/javascript]
mesaji bu sekilde post ile gonderebilirsiniz isterseniz sohbete baslamadan once bir tane isim girmesini isteyebilirsiniz ziyaretciden daha sonra bir session olusturup rastgele bi token atayıp o tokeni de mesajin yaninda gondererek bir kullanici ya tanimlayabilirmisiniz vs.
 

 

mucosoft mucosoft Mucosoft Kullanıcı
  • Üyelik 07.10.2013
  • Yaş/Cinsiyet 26 / E
  • Meslek Bilgisayar Programcısı
  • Konum Giresun
  • Ad Soyad M** E**
  • Mesajlar 648
  • Beğeniler 181 / 81
  • Ticaret 5, (%100)

ali45200 adlı üyeden alıntı

[javascript]
function mesajGonder(){
$.ajax({
url : mesajin_gonderilecegi_url,
method : “post”,
data : {
mesaj : $(“.mesaj-textarea”).val()
},
success : function(response){
}
});
}
[/javascript]
mesaji bu sekilde post ile gonderebilirsiniz isterseniz sohbete baslamadan once bir tane isim girmesini isteyebilirsiniz ziyaretciden daha sonra bir session olusturup rastgele bi token atayıp o tokeni de mesajin yaninda gondererek bir kullanici ya tanimlayabilirmisiniz vs.


Ama ziyaretçinin yanı sıra kullanıcılar da mesaj atabiliyor. Bu üstteki kod JQuery ama ben tamamen kendim kodluyorum. Ek olarak GET metodu ile token göndermek bir açık oluşturmaz değil mi? SSL kullanıyorum.
 

 

awoken awoken WM Aracı Kullanıcı
  • Üyelik 06.06.2019
  • Yaş/Cinsiyet 19 / E
  • Meslek Öğrenci
  • Konum Diğer
  • Ad Soyad B** G**
  • Mesajlar 1002
  • Beğeniler 250 / 478
  • Ticaret 41, (%100)

mucosoft adlı üyeden alıntı

Ama ziyaretçinin yanı sıra kullanıcılar da mesaj atabiliyor. Bu üstteki kod JQuery ama ben tamamen kendim kodluyorum. Ek olarak GET metodu ile token göndermek bir açık oluşturmaz değil mi? SSL kullanıyorum.

Şöyle olsun. Siteye giren herkes için session oluşsun.
Eğer oturum açar ise kullanıcı sessionda user verisi dolsun.
Ajax ile mesajgonder.php dosyasına istek gidiyor olsun mesela.

session_start();
if(isset($_SESSION['user'])) {
// Giriş yapmış kullanıcı.
}
else {
// Misafir kullanıcı
}

Kod sadece örnek amaçlıdır, kendi kodunuzu paylaşırsanız ona göre yorum yapabiliriz.
forzayandex 101222

kişi bu mesajı beğendi.

wmaraci
wmaraci

mucosoft mucosoft Mucosoft Kullanıcı
  • Üyelik 07.10.2013
  • Yaş/Cinsiyet 26 / E
  • Meslek Bilgisayar Programcısı
  • Konum Giresun
  • Ad Soyad M** E**
  • Mesajlar 648
  • Beğeniler 181 / 81
  • Ticaret 5, (%100)

awoken adlı üyeden alıntı

Şöyle olsun. Siteye giren herkes için session oluşsun.
Eğer oturum açar ise kullanıcı sessionda user verisi dolsun.
Ajax ile mesajgonder.php dosyasına istek gidiyor olsun mesela.

session_start();
if(isset($_SESSION['user'])) {
// Giriş yapmış kullanıcı.
}
else {
// Misafir kullanıcı
}

Kod sadece örnek amaçlıdır, kendi kodunuzu paylaşırsanız ona göre yorum yapabiliriz.


Sorun da burada. Ajax ile farklı bir PHP dosyasına veri gönderince session işleminin bir anlamı kalmıyor ki. Ziyaretçi olarak gözüküyor.
 

 

awoken awoken WM Aracı Kullanıcı
  • Üyelik 06.06.2019
  • Yaş/Cinsiyet 19 / E
  • Meslek Öğrenci
  • Konum Diğer
  • Ad Soyad B** G**
  • Mesajlar 1002
  • Beğeniler 250 / 478
  • Ticaret 41, (%100)

mucosoft adlı üyeden alıntı

Sorun da burada. Ajax ile farklı bir PHP dosyasına veri gönderince session işleminin bir anlamı kalmıyor ki. Ziyaretçi olarak gözüküyor.

Session o anki alan adında geçerlidir, PHP dosyasıyla alakası yok yani. Eğer çalışmıyorsa kodlarda sorun vardır.
 

 

mucosoft mucosoft Mucosoft Kullanıcı
  • Üyelik 07.10.2013
  • Yaş/Cinsiyet 26 / E
  • Meslek Bilgisayar Programcısı
  • Konum Giresun
  • Ad Soyad M** E**
  • Mesajlar 648
  • Beğeniler 181 / 81
  • Ticaret 5, (%100)

awoken adlı üyeden alıntı

Session o anki alan adında geçerlidir, PHP dosyasıyla alakası yok yani. Eğer çalışmıyorsa kodlarda sorun vardır.


Tamamdır, bugün gün içerisinde test edince bildireceğim.
 

 

mucosoft mucosoft Mucosoft Kullanıcı
  • Üyelik 07.10.2013
  • Yaş/Cinsiyet 26 / E
  • Meslek Bilgisayar Programcısı
  • Konum Giresun
  • Ad Soyad M** E**
  • Mesajlar 648
  • Beğeniler 181 / 81
  • Ticaret 5, (%100)

awoken adlı üyeden alıntı

Session o anki alan adında geçerlidir, PHP dosyasıyla alakası yok yani. Eğer çalışmıyorsa kodlarda sorun vardır.


Yine aynı sorun. Bu kodu çalıştırıyorum ama oturumlar alınmıyor, üye ziyaretçi olarak gözüküyor.



<script>
function Update()
{
if(event.keyCode == 13)
{
var xhttp = new XMLHttpRequest();
xhttp.function()
{
if (this.readyState == 4 && this.status == 200)
{
document.getElementById('chat-view').innerHTML = '';
document.getElementById('chat-view').innerHTML = this.responseText;
}
};
var chat = document.getElementById('chat').value;
xhttp.open('GET', 'Ajax.php?get=chat, true);
xhttp.send();
}
}</script>


$username = $_SESSION["username"];
$userid = $_SESSION["userid"];
echo("$username ve $userid");
 

 

mucosoft mucosoft Mucosoft Kullanıcı
  • Üyelik 07.10.2013
  • Yaş/Cinsiyet 26 / E
  • Meslek Bilgisayar Programcısı
  • Konum Giresun
  • Ad Soyad M** E**
  • Mesajlar 648
  • Beğeniler 181 / 81
  • Ticaret 5, (%100)
Session başlatma kodunu unutmuşum. Küçücük bir hataymış. Sorun çözüldü, iyi günler dilerim. :)
 

 

basich basich WM Aracı Kullanıcı
  • Üyelik 24.08.2018
  • Yaş/Cinsiyet 28 / E
  • Meslek Maliyeci
  • Konum Uşak
  • Ad Soyad L** H**
  • Mesajlar 890
  • Beğeniler 109 / 319
  • Ticaret 8, (%100)

mucosoft adlı üyeden alıntı

Ama ziyaretçinin yanı sıra kullanıcılar da mesaj atabiliyor. Bu üstteki kod JQuery ama ben tamamen kendim kodluyorum. Ek olarak GET metodu ile token göndermek bir açık oluşturmaz değil mi? SSL kullanıyorum.

Tokeni geri dönüşümsüz şifrelelerseniz(örn. Md5) sıkıntı olacağını düşünmüyorum.
Kullanıcılara md5 bir hash atayın. Ve bunu sql de kaydedin. Sonra her postta bu hash ile sorgulama yapıp kullanıcı idsini bulun. Ayrıca ajax ile yollasan bile kullanıcı verileri kaybolmaz diye düşünüyorum. Sanırım kodlarınızda bir hata var.
 

 

wmaraci
wmaraci
Konuyu toplam 2 kişi okuyor. (0 kullanıcı ve 2 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al