güvenilir login nasıl yapabilirim? |
11 Mesajlar | 2.730 Okunma | ||
Toplam 11 mesaj ve 2.730 görüntüleme
- Üyelik 18.03.2014
- Yaş/Cinsiyet 31 / E
- Meslek Web Designer
- Konum Ankara
- Ad Soyad E** Ş**
- Mesajlar 80
- Beğeniler 15 / 9
- Ticaret 2, (%100)
merhaba, yonetim paneli girişi için güvenilir kod onerebilirmisiniz? bu illa veritabanı kontrollu olmayabılır tek ıstedıgım en guvenılır hali. Hacklenme riski minumuma dusuren bir kod gerekırse statik elle şifre duzenlemeyede razıyım
rckx2
- Üyelik 26.11.2014
- Yaş/Cinsiyet 38 / E
- Meslek Php Developer
- Konum Amasya
- Ad Soyad K** Y**
- Mesajlar 89
- Beğeniler 1 / 26
- Ticaret 0, (%0)
$user = "admin";
$pass = "sifre";
$auth = false;
if (isset($_SERVER['PHP_AUTH_USER']) && isset($_SERVER['PHP_AUTH_PW'])) {
if ($user==$_SERVER['PHP_AUTH_USER'] && $pass==$_SERVER['PHP_AUTH_PW']) {
$auth = true;
}
}
if (!$auth) {
header( 'WWW-Authenticate: Basic realm="Yönetim Paneli"' );
header( 'HTTP/1.0 401 Unauthorized' );
echo 'Giriş başarısız!';
exit;
}
?>
Php auth ile manual giriş sağlayabilirsiniz.
- Üyelik 18.03.2014
- Yaş/Cinsiyet 31 / E
- Meslek Web Designer
- Konum Ankara
- Ad Soyad E** Ş**
- Mesajlar 80
- Beğeniler 15 / 9
- Ticaret 2, (%100)
$user = "admin";
$pass = "sifre";
$auth = false;
if (isset($_SERVER['PHP_AUTH_USER']) && isset($_SERVER['PHP_AUTH_PW'])) {
if ($user==$_SERVER['PHP_AUTH_USER'] && $pass==$_SERVER['PHP_AUTH_PW']) {
$auth = true;
}
}
if (!$auth) {
header( 'WWW-Authenticate: Basic realm="Yönetim Paneli"' );
header( 'HTTP/1.0 401 Unauthorized' );
echo 'Giriş başarısız!';
exit;
}
?>
Php auth ile manual giriş sağlayabilirsiniz.
Öncelikle bu kodu açık yakalama programları ile denedim ve sonuc mukemmel acık yok. Hocam şimdi soracagım soru örneğin
giriş yapıldıgında admin-panel.php sayfasına yonlendırmek ıstıyorum
diğer sayfaların şifre kontrollerını nasıl sağlayabılırım?
session_start();
if(!isset($_SESSION["giris"]))
{
echo 'Bu sayfayi göruntuleme yetkiniz yoktur.';
return;
}
?>
iç sayfalar için bu kod işimi gorıcekmidir?
rckx2
- Üyelik 26.11.2014
- Yaş/Cinsiyet 38 / E
- Meslek Php Developer
- Konum Amasya
- Ad Soyad K** Y**
- Mesajlar 89
- Beğeniler 1 / 26
- Ticaret 0, (%0)
bu sayfayı admin panelinizde header.php veya ust.php gibi tum sayfalarda include edilen dosyanıza include etmeniz yeterli olacaktır.
- Üyelik 26.01.2015
- Yaş/Cinsiyet 29 / E
- Meslek Öğrenci
- Konum Kayseri
- Ad Soyad M** Ö**
- Mesajlar 7
- Beğeniler 2 / 0
- Ticaret 0, (%0)
Şifreyi md5 olarak kullanırsanız daha güvenli hale gelebilir.
md5(şifre) şeklinde dönüştürebilirsiniz. Hatta daha da güvenli olsun diyorsanız,
md5(md5(şifre))... şeklinde 2 veya daha fazla şekilde md5' dönüştürebilirsiniz. veritabanı ile giriş yaparsınız. Siteye shell atılırsa eğer veritabanınıza ulaşmaması için veritabanı bilgilerini ulu orta koymayınız. sadece Veritabanına ulaşılırsa md5 olduğu ortaya çıkar çift md5 güvenliği artıracaktır ve çözülmesi zorlaşacaktır. Kolay gelsin.
md5(şifre) şeklinde dönüştürebilirsiniz. Hatta daha da güvenli olsun diyorsanız,
md5(md5(şifre))... şeklinde 2 veya daha fazla şekilde md5' dönüştürebilirsiniz. veritabanı ile giriş yaparsınız. Siteye shell atılırsa eğer veritabanınıza ulaşmaması için veritabanı bilgilerini ulu orta koymayınız. sadece Veritabanına ulaşılırsa md5 olduğu ortaya çıkar çift md5 güvenliği artıracaktır ve çözülmesi zorlaşacaktır. Kolay gelsin.
- Üyelik 28.11.2013
- Yaş/Cinsiyet 31 / E
- Meslek Ameliyathane Hemşiresi
- Konum Afyon
- Ad Soyad I** Ç**
- Mesajlar 2633
- Beğeniler 344 / 487
- Ticaret 12, (%100)
Şifreyi md5 olarak kullanırsanız daha güvenli hale gelebilir.
md5(şifre) şeklinde dönüştürebilirsiniz. Hatta daha da güvenli olsun diyorsanız,
md5(md5(şifre))... şeklinde 2 veya daha fazla şekilde md5' dönüştürebilirsiniz. veritabanı ile giriş yaparsınız. Siteye shell atılırsa eğer veritabanınıza ulaşmaması için veritabanı bilgilerini ulu orta koymayınız. sadece Veritabanına ulaşılırsa md5 olduğu ortaya çıkar çift md5 güvenliği artıracaktır ve çözülmesi zorlaşacaktır. Kolay gelsin.
md5(şifre) şeklinde dönüştürebilirsiniz. Hatta daha da güvenli olsun diyorsanız,
md5(md5(şifre))... şeklinde 2 veya daha fazla şekilde md5' dönüştürebilirsiniz. veritabanı ile giriş yaparsınız. Siteye shell atılırsa eğer veritabanınıza ulaşmaması için veritabanı bilgilerini ulu orta koymayınız. sadece Veritabanına ulaşılırsa md5 olduğu ortaya çıkar çift md5 güvenliği artıracaktır ve çözülmesi zorlaşacaktır. Kolay gelsin.
güvenli yol bunu öneren çok inşallah geliştirdiğim sitemde admin paneli yaparken kullanırım
- Üyelik 26.01.2015
- Yaş/Cinsiyet 29 / E
- Meslek Öğrenci
- Konum Kayseri
- Ad Soyad M** Ö**
- Mesajlar 7
- Beğeniler 2 / 0
- Ticaret 0, (%0)
upload sayfalarına fazlaca önem veriniz upload açıkları shell sokmak ve siteye sızmak için artık en kolay yoldur. Bilginize, Tekrar kolay gelsin.
- Üyelik 29.01.2014
- Yaş/Cinsiyet 35 / E
- Meslek Yazılım & SEO
- Konum İzmir
- Ad Soyad M** B**
- Mesajlar 1196
- Beğeniler 56 / 168
- Ticaret 37, (%100)
Konu sahibi hocam açık yakalama programları derken neyden kast ediyorsunuz? Bende kendi sitelerimde bir test yapmak isterim.
- Üyelik 25.06.2012
- Yaş/Cinsiyet 39 / E
- Meslek Engineering Director
- Konum İstanbul Avrupa
- Ad Soyad T** C**
- Mesajlar 771
- Beğeniler 2 / 260
- Ticaret 0, (%0)
Güvenlik kodu kullanınız ;) botlarla olabilecek binlerce login denemelerinde db'ye gidip, geldiğinizi düşündüğünüzde db down olabilir.
Kullanıcı ad ve parolasınında statik dosyalarda olması kullanıcı yönetimi açısından biraz sıkıntılı.. En temiz yöntemlerinden birisi uygulama ayağa kalkarken kullanıcı ad ve şifreleri cache yada ram üzerine yazıp, veri kontrolünü cache yada ram üzerinden yapmanızdır.
cache için cache server'ları mevcut ekstra bir yük.. ram üzerinden kasıtım ise şudur.
uygulama ayağa kalkarken db'den kullanıcı ad ve şifreleri çekip bir map içinde tutmanız.
ConcurrentHashMap gibi..
Map -> key ve value değerleri alır. key değerine kullanıcı adı, value değerinede şifreyi db'den çekip Map içine doldurursunuz. Login denemesinde bulunan kişinin değerlerinide Map içinden -> map.get("kullanıcıAd") şeklinde yaptığınızda bu key varmı varsa value değeri bu key'in girilen şifre ile aynımı kontrolunu rahatça yapabilirsiniz.
+ Captcha ilede bot kontrolü mis gibi akar gider.
Kullanıcı ad ve parolasınında statik dosyalarda olması kullanıcı yönetimi açısından biraz sıkıntılı.. En temiz yöntemlerinden birisi uygulama ayağa kalkarken kullanıcı ad ve şifreleri cache yada ram üzerine yazıp, veri kontrolünü cache yada ram üzerinden yapmanızdır.
cache için cache server'ları mevcut ekstra bir yük.. ram üzerinden kasıtım ise şudur.
uygulama ayağa kalkarken db'den kullanıcı ad ve şifreleri çekip bir map içinde tutmanız.
ConcurrentHashMap gibi..
Map -> key ve value değerleri alır. key değerine kullanıcı adı, value değerinede şifreyi db'den çekip Map içine doldurursunuz. Login denemesinde bulunan kişinin değerlerinide Map içinden -> map.get("kullanıcıAd") şeklinde yaptığınızda bu key varmı varsa value değeri bu key'in girilen şifre ile aynımı kontrolunu rahatça yapabilirsiniz.
+ Captcha ilede bot kontrolü mis gibi akar gider.
https://www.linkedin.com/in/turgaycan/
Kaliteli kod yazılır.. (Günlük/Saatlik ücreti ile)
Kaliteli kod yazılır.. (Günlük/Saatlik ücreti ile)
- Üyelik 26.01.2015
- Yaş/Cinsiyet 29 / E
- Meslek Öğrenci
- Konum Kayseri
- Ad Soyad M** Ö**
- Mesajlar 7
- Beğeniler 2 / 0
- Ticaret 0, (%0)
Güvenlik kodu kullanınız ;) botlarla olabilecek binlerce login denemelerinde db'ye gidip, geldiğinizi düşündüğünüzde db down olabilir.
Aynen öyle, ayrıca 3den fazla giriş hakkı olmamalı 3ten fazla girişte belirli bir süre engel ve tekrarında ip üzerinden erişim engellenmelidir.
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)