Php Session Tanımsız Uyarısı Sorunu

yazilimyolcusu · 2022-03-20T11:03:46+00:00

Arkadaşlar merhaba. 2 problemim var. si: Kullanıcı şifreyi her yanlış girdiğinde, "$SESSION["guvenlikgirisi"]" bir artıyor. 3 kez yanlış girdiğinde ise uyar...

yazilimyolcusu

Arkadaşlar merhaba. 2 problemim var.

si: Kullanıcı şifreyi her yanlış girdiğinde, "$SESSION["guvenlikgirisi"]" bir artıyor. 3 kez yanlış girdiğinde ise uyarı veriyor. Ama aynı zamanda da log dosyasında "tanımsız session" (undefined $SESSION["guvenlikgirisi"]) hatası veriyor.

si: 3 kez yanlış girdiğinde ip'sini engellemek istiyorum. Ne yapmalıyım?

<?php
if($_POST['kullanicigirisgonder']) {

        $_SESSION["guvenlikgirisi"];

        $guvenlik_ip = $_SERVER['REMOTE_ADDR'];


        $kullaniciadi          = trim(strip_tags(base64_encode($_POST['kullanicigirisadi'])));
        $kullanicisifre        = trim(strip_tags(base64_encode($_POST['kullanicigirissifre'])));
        $guvenlikkodudogrula   = trim(strip_tags($_POST['guvenlikkodudogrula']));
        $sessional = $_SESSION["kod"];


        /* if(!empty($_SESSION["kod"]) AND ($guvenlikkodudogrula == $_SESSION["kod"])) { */
        if($guvenlikkodudogrula != $sessional) {
        ?>

            <div class='hatali-kullanicigirisi-uyarisi'>
                <?php
                echo ("Güvenlik kodu yanlış girilmiş olabilir <br> Lütfen Tekrar Deneyiniz <br> Giriş Formu'na Yönlendiriliyorsunuz");
                header("Refresh:2; url=giris-formu-guvenlik.php");
                ?>
            </div>

        <?php
            $_SESSION["guvenlikgirisi"] += 1;
            if ($_SESSION["guvenlikgirisi"] > 2) {
                header("Location:engellenmis.php");
            }

        /* header("Refresh:2; url=giris-formu-guvenlik.php"); */
        } else {


        $girissorgusu  = "SELECT * FROM kullanicilar WHERE kullanicilar_kullaniciadi = '$kullaniciadi' AND kullanicilar_sifre = '$kullanicisifre'";
        $girissorgu    = mysqli_query($db, $girissorgusu);
        $sonuc = mysqli_fetch_array($girissorgu);

        if(($sonuc['kullanicilar_kullaniciadi'] == $kullaniciadi) AND ($sonuc['kullanicilar_sifre'] == $kullanicisifre)) {
            $_SESSION['adi']       = $sonuc;
            $_SESSION['sifresi']   = $sonuc;

            if(!empty($_POST['benihatirla'])) {
                $cerez = trim(strip_tags($_POST['benihatirla']));
                $cerezadi     = "kullanicicerezi";
                $cerezdegeri  = "kullanicicerezsifre";
                setcookie($cerezadi, $cerezdegeri, time() + (86400), "/"); // 86400 = 1 day
            } else {

            }

            header("Location:index.php");
        } else {
?>
            <div class='hatali-kullanicigirisi-uyarisi'>
                <?php
                echo "<center><img src='images/onayhataresimleri/unlem.png'></center>";
                echo ("Giriş Bilgileriniz Hatalı <br> Lütfen Tekrar Deneyiniz <br> Giriş Formu'na Yönlendiriliyorsunuz");
                header("Refresh:2; url=giris-formu.php");
        }
                ?>
            </div>
<?php
        }
    }
?>

Halil Han BADEM

yazilimyolcusu Merhaba,

IP engelleme için bir tabloda hatalı IP listesini tutup, login sayfa öncesinden sorgulama yapabilirsiniz.
SESSION konusunda ise SESSION'u başlattığına emin olmalısın. Örneğin;
https://www.php.net/manual/tr/function.session-start.php

Ek olarak projeyi kendi çapında yapıp yapmadığını bilmiyorum ama güvenlik ve KVKK gereği kullanıcı şifresini salt okunur şekilde çerezlere yazmak güvenlik konusunda büyük sorunlar yaşatır. Aşağıda hazırladığım örnek direkt SESSION üzerinden bir saldırı fakat çereze ulaşmak daha kolay. Bu yüzden dikkat etmekte yarar olur diye düşünüyorum.
https://yazilimtoplulugu.com/d/170-session-hijacking-ve-ornek-saldiri

İyi çalışmalar dilerim.

yazilimyolcusu

Şöyle anlatayım. Session'ı başlattım. Session çalışıyor. En başta "if post" un hemen altında session'ı şu şekil kullandım, yani değer vermeden. $_SESSION["guvenlikgirisi"];

Ben burada hatalı girişi session'da tutuyorum. Aşağılarda da session'ı saydırıyorum. Session'ı tanımlarken "0" değerini versem yani $SESSION["guvenlikgirisi"] = 0; desem sayfa boş oluyor. Hiç bir şey görünmüyor. Session'a string bir değer versem de bu sefer "numerik bir değer değil" uyarısı veriyor ve saydıramıyorum. Ama yukarıda kodlarda da yazdığım gibi $SESSION["guvenlikgirisi"]; bu şekilde kullanırsam saydırabiliyorum. ama bu sefer de değer vermediğim için "tanımsız session" uyarısını veriyor. Session'ı database sayfasında başlatıyorum zaten. Eğer bu sayfaya alırsam "zaten başlatıldı" uyarısı veriyor.

Bir diğer sorun şu: Kullanıcının ip'sini, kullanıcı kayıt yaparken veritabanına ekletiyorum. 3 kere yanlış girdiğinde de veritabanındaki ip ile kullanıcı ip'sini karşılaştırabiliyorum ama siteye girişini nasıl yapacağım, onu bilemedim. Yani, şu an ben localhost'ta çalışıyorum ama gerçek bir adresi nasıl engellerim. Veya localhost'ta da aynı şekilde.

Bir diğer konu: Siteyi kendim için yapıyorum. Şifreyi de çerezde değil, session'da tutuyorum. Çerezde tuttuğum sadece "beni hatırla" işlemi.

yazilimyolcusu

Undefined index: hatası veriyor. undifined session değil.

yazilimyolcusu

İlk satırlardaki

$_SESSION["attempts"];

kısmını

if(!isset($_SESSION["attempts"])) {
    $_SESSION["attempts"] = 0;
}

olarak;

Alt satırlardaki

$_SESSION["attempts"] += 1;

kısmını da

intval($_SESSION["attempts"] += 1);

şeklinde yaptım ve sorunu çözdüm. 🙂