$_COOKIE[' '] degiskeninin ömrü ne kadardir? Olasi Aciklar

[mustklc]

Cookie tanimlarken normalde;

Kod:

setcookie("uye", $uye-adi, time()+3600);

diyerekten ömrünü belirleyebiliyoruz.

peki ayni cookie yi;

Kod:

$_COOKIE['uye] = $uye-adi;

şeklinde oluşturursam ömür ne kadardır?

ikinci bir soru ; opera ya da firefox gibi ikinci parti browserlar, internet explorerin cookie'lerini mi kullanır?

üçüncü bir soru; $_SESSION değişkeni , bilgisayar açılıp kapanmadan , sadece yeni bir browser penceresi acarsak halen aktif olur mu?

cok soru sordum sanirim. yardimci olacak arkadaslara simdiden tesekür ediyorum.

[DarkElder]

1- cookie değişkenini $_COOKIE şeklinde tanımlarsanız sadece o sayfa içinde geçerli olur. Çerez olarak geçmesi için setcookie kullanmanız gerekiyor.
2- Her tarayıcı ayarlarında belirtilen klasör içindeki cookieleri kullanır. Varsayılan olarak hepsi farklıdır.
3- $_SESSION sadece bir oturumda geçerlidir. Farklı bir tarayıcıda ve/veya mevcut sayfa dururken yeni bir tarayıcı dahi çalıştırsanız (CTRL+N hariç!) yeni bir session oluşturur.

[MeTrO]

session yeni bir browser da aktif olmaz fakat
yeni çıkan explorer da

yeni bir sekmede halen aktiftir...

bu yüzden de bir çok açık vebelirsin (tabi yakalayabilirsinde )

bunu belirtmek istedim...

Kolay gelsin

[mustklc]

Aslinda benim sorunum:

Kod:

setcookie("uye", $uye-adi, time()+3600);

ile olusturdugum cookie ile

Kod:

$_COOKIE['uye'] = $uye-adi;

ile olusturdugum cookie ayni olmuyor. yani degisken ismi ayni olmuyor.
acaba birincide  "uye" demek yerine 'uye' mi demem gerekiyor?


MeTrO arkadasim; su olasi aciklardan biraz bahsedebilir misin? form ve mysql injection ile ilgili aciklari duydum ama session ile ilgili hic duymadim

[MeTrO]

ben sana yakaladığım bi açığı anlatayım...

trafik poliçesi bilgileri veren bir site var

siteye k.adi ve şifreyle giris yapıyorsun

plakayı yazıyorsun sonra o adamın poliçeleri geliyor...

ama poliçe baş. ve bitiş tarihleri , şasi no vs gibi önemli bilgiler ***** halinde geliyor...

sonra adres çubugunu incelediğimde www.siteadresi.com/...&v=1 gibi bi ibare gördüm...

sonra siteyi kapatırsam session destroy olacaktı

yeni sekmede bu adres çubuğundaki adresi yazıp v=1 bölümünü v=0 yaptım ve tüm bilgiler göründü bunun gibi yani

çoğu zaman adres çubuğundaki adres bilgisi ve get ile gönderdiğimiz değişkenler görünmesin diye popup kullanırız ama bunda o da işlemiyor

mecbur olarak gösteriyor

yani bunun gibi açıklar verebilir veya yakalayabilirsin...

kolay gelsin

MeTrO

[samety]

yeni sekmede açtığını yeni pencerede de acarsın dimi ?
ne farkı var sekmeyle yeni pencerenin ikisinde de session devam eder
buda ikisi arasında hiç bi fark olmadıgını gosterir
sekme olayı sadece kolaylık acısındna saglanmış birşey diye biliyorum ben
sonra vs vs vs işte not:
tabi yeni pencereye parent sayfadan linkle vs ile gidersen

bişe daha eklemek istiyorum
sonra adres çubugunu incelediğimde www.siteadresi.com/...&v=1 gibi bi ibare gördüm...

sonra siteyi kapatırsam session destroy olacaktı

yeni sekmede bu adres çubuğundaki adresi yazıp v=1 bölümünü v=0 yaptım ve tüm bilgiler göründü bunun gibi yani

bunu kullanıcı yaptırmaz yazılımcı kullanıcıya izin verir
kullanıcı akıllı bi kod yazsaydı bu olayı yapamazdın bunun session hiç bi alakası yok veya yeni sekme veyada yeni pencere ile alkasının oldugunu düşünmüyourm diye düşünüyorum bilmem yanlış mı düşünüyorm
saygılar

[DarkElder]

Samety'ye katılıyorum. Bu olayın session ile herhangi bir ilgisi yok. Programcı tarafından gözden kaçırılmış ve/veya bilerek bırakılmış bir açık sadece. Programcının göstermek istemediği hiçbir SESSION bilgisine v=1 i v=0 yaparak ulaşamazsınız.

[MeTrO]

 

ben katılmıyorum

çünkü

adam onu göstermemek için popup ta açtırıyor sayfayı fakat popup unda adres bilgisini (yani adres çubuğunu) yeni explorer gösterdiği için ben öyle bir açığı yakalayabildim...

ikincisi

session oturumumu açmış olayım...
ve kısıtlı alanlara girebilme hakkım olsun...

ben pencereyi kapatır sonra tekrar açar ve kısıtlı alana girmeye çalışırsam giremem...

ama
session oturumumu açtıktan sonra yeni bir sekmede kısıtlı alana girmeye çalışayım girebilirm...

yani aradaki fark bu

son olarak;

session bilgisine eriştiğimi zaten iddia etmedim...

sadece session tarafından korunarak saklanan bilgilerin yeni explorer penceresinde eğer kodlar dikkatli yazılmazsa bu tür açıklar verilebileceği konusunda söyledim sözümü...

ben yukarıda bahsettiğim açığı normal explorer penceresinde göremedim çünkü hem popup ta açılıyordu hemde sekme denilen bir olay olmadığı için session destroy olmadan yeni pencereyi açamazdım...

 yeni explorer ın bu şekilde kötü bir huyu olduğunu söylüyorum...

ama yine idda ediyorum...

session oturumunuzu açın...

sonra yeni bir sekme açın ve direk olarak kısıtlı olan sayfanın adresini yazın girebildiğnizi göreceksiniz...
fakat session otumunu açın...

sonra yeni bir sayfada direk olarak kısıtlı olan sayfanın adresini yazın giremediğinizi göreceksiniz....

kolay gelsin...

MeTrO

[samety]

ama yine idda ediyorum...

session oturumunuzu açın...

sonra yeni bir sekme açın ve direk olarak kısıtlı olan sayfanın adresini yazın girebildiğnizi göreceksiniz...
fakat session otumunu açın...

sonra yeni bir sayfada direk olarak kısıtlı olan sayfanın adresini yazın giremediğinizi göreceksiniz....

bu dediğinin açıkla ne ilgisi var allaha askında
eger ki birisi kısıtlı alana girmişse zaten o kişi kısıtlı alana girmeye yetkilidir + yeni sekme acma aynı şeyi aynı explorer penceresinde dene yine girer session da senin dediğin bir tarz açık yoktur
O POPUP DEDİĞİN YER VARYA yeni sekmede acınca session sonlanmamış bi link var galiba onda ona sag tıkla yeni pencere de session yine sonlanmaz
yaa üf anlatamıyorum sana ben kendimi yedim burda ya bu konu bos yere uzamasın sesionda boyle acık yoktur kimsenin aklını bulandırmayalım kodlarınızı dikkatli yazın yeter

[MeTrO]

son olarak;

session bilgisine eriştiğimi zaten iddia etmedim...

sadece session tarafından korunarak saklanan bilgilerin yeni explorer penceresinde eğer kodlar dikkatli yazılmazsa bu tür açıklar verilebileceği konusunda söyledim sözümü...

bi daha yazmama gerek varmı?

[mustklc]

aslinda bir seyleri cozmek adina tartismak ve fikirleri paylasmak guzel birsey. insallah bu tartismalar kisisellestirilmez.



session acigi konusuna gelince ben de bildiklerimi soyleyeyim.

aslinda session degiskeninde onemli verileri saklamamak gerek. ama metro arkadasin bahsettigi acik bana biraz  get  yonteminden kaynaklanan bir acik gibi geldi. url deki 1 i 0 yaparak kolayca değiştirelebilecek veriler yerine md5 ile sifrelenmis degiskenler kullanmak yada post degiskeni kullanmak daha mantikli gibi.

fakat hala cozemedigim bir soru:
setcookie("uye", $uye-adi, time()+3600); diye ololustudugum cookie'ye neden daha sonra $_COOKIE['uye'] degiskeni ile bakamiyorum?