İlk cevap çok bilgilendiriciydi, buda çok iyi oldu. Teşekkürler :)<div class="gmail_extra"><br clear="all"><div>Volkan Altan<br><a href="http://volkanaltan.com/" target="_blank">http://volkanaltan.com/</a><br>İyi  Çalışmalar.</div>

<br>
<br><br><div class="gmail_quote">2012/12/13 Deniz Cevik <span dir="ltr"><<a href="mailto:denizcev@gmail.com" target="_blank">denizcev@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

ortadan girmeden ilk maili okuyunca session id'nin doğru olmaması ile<br>
ilgili hataların loglara düşmemesi isteniyor diye anlıyorum :)<br>
<br>
Eğer üretilen hata için default bir severity belirlenmemiş ise veya<br>
sizin düşünüğünüzden daha yüksek bir severity'e sahip ise, bu durumda<br>
sizin sessionid validaditon için bir kontrol koyup, hatalı olduğunu<br>
belirlediğiniz zaman oluşan hataya severity atamanız (E_NOTICE,<br>
E_WARNING vb) ve şu severity'dekileri log'a yazma gibi bir şey demeniz<br>
gerekebilir.<br>
<br>
örneğin NOTICE tipindekileri error logda görmek istmiyor iseniz<br>
php.ini de aşağıdaki gibi bir şey olabilir.<br>
<br>
error_reporting = E_ALL & ~E_NOTICE<br>
<br>
eğer session fixation ile ilgili bir kaygı ise belirttiğiniz, sadece<br>
valid olmayan sessionid leri değil, uygulama tarafından üretilmiş ve<br>
kullanıcı tarafından geri yollanan geçerli sesion'larında<br>
kullanılmadığına dair bir kontrol yapmalısınız. Tabi login sonrası<br>
yeni bir session id atamak ta bu konudaki riskleri minimize eder.<br>
<br>
2012/12/13 Volkan Altan <<a href="mailto:volkanaltan@gmail.com">volkanaltan@gmail.com</a>>:<br>
<div class="HOEnZb"><div class="h5">> Merhaba,<br>
><br>
> Bu cevaplar arkadaşın sorusunun yanıtı değil.<br>
><br>
> Soru: session id nin doğruluğunu kontrol edeyim mi?<br>
><br>
> Ben gerek yok dedim (linux programlama) çünkü karakteri bozuk session id<br>
> gelince  php otomatik<br>
> Yeni session id üretiyor....<br>
> Ama bu cevap hatalı olabilir...<br>
><br>
> (Telefon)<br>
><br>
> 13 Ara 2012 19:10 tarihinde "Deniz Cevik" <<a href="mailto:denizcev@gmail.com">denizcev@gmail.com</a>> yazdı:<br>
><br>
>> Merhaba,<br>
>><br>
>> Detaylı hata mesajları uygulama hakkında uygulamanın işlevine ve<br>
>> fonksiyonlarına da bağlı olarak yol bilgisi, sql sorguları, hatanın<br>
>> neden kaynaklandığı vb pek çok önemli bilginin açığa çıkmasına neden<br>
>> olabilir. Örneğin senin örneğinde sessionid üretme mekanizması<br>
>> hakkında bazı bilgiler ortaya çıkıyor. Bu başka bir uygulamada tablo<br>
>> isimleri vb olarak ortaya çıkabilir.<br>
>><br>
>> Bu duruma güvenlik açısından baktığın zaman bilgi açığa çıkarma<br>
>> tipinde bir risk oluşturur. Bu nedenle son kullanıcıya açılmış tüm<br>
>> uygulamalarda detaylı hata mesajlarının yayınlanmasının engellenmesi<br>
>> yararlı olur.<br>
>><br>
>> Bildiğim kadarı ile php.ini içinde display_errors off yapman detaylı<br>
>> hataların ortaya çıkmasını engelleyecektir. bunun dışında zend<br>
>> kaynaklı hatalar varsa onun içinde zend ayarlarına bakman iyi<br>
>> olacaktır.<br>
>><br>
>> ; display_errors<br>
>> ;   Default Value: On<br>
>> ;   Development Value: On<br>
>> ;   Production Value: Off<br>
>><br>
>><br>
>> Kolay Gelsin<br>
>><br>
>> 2012/12/13 What you get is Not what you see <<a href="mailto:wyginwys@gmail.com">wyginwys@gmail.com</a>>:<br>
>> ><br>
>> ><br>
>> ><br>
>> > 2012/12/13 Bedirhan Urgun <<a href="mailto:bedirhanurgun@gmail.com">bedirhanurgun@gmail.com</a>><br>
>> >><br>
>> >> Merhaba,<br>
>> >> Biraz gec bir mail olacak ama bence bu hatanin alinmasi sessionid<br>
>> >> degerinin degistirildigini (mesela session fixation saldiri denemesi)<br>
>> >> gosterecegi icin daha faydali gibi duruyor. Tabi eger durumu yanlis<br>
>> >> anlamadiysam.<br>
>> >><br>
>> ><br>
>> > Hata mesajini almak faydali. Benim sordugum ise php tarafinda bunun icin<br>
>> > bir<br>
>> > onlem almak gerekiyor mu?<br>
>> ><br>
>> > _______________________________________________<br>
>> > Owasp-turkey mailing list<br>
>> > <a href="mailto:Owasp-turkey@lists.owasp.org">Owasp-turkey@lists.owasp.org</a><br>
>> > <a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
>> ><br>
>> _______________________________________________<br>
>> Owasp-turkey mailing list<br>
>> <a href="mailto:Owasp-turkey@lists.owasp.org">Owasp-turkey@lists.owasp.org</a><br>
>> <a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
><br>
><br>
> _______________________________________________<br>
> Owasp-turkey mailing list<br>
> <a href="mailto:Owasp-turkey@lists.owasp.org">Owasp-turkey@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
><br>
_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br>
</div></div></blockquote></div><br></div>