Forem: Kaan Hanoğlu The latest articles on Forem by Kaan Hanoğlu (@kaan_hanoglu). https://forem.com/kaan_hanoglu https://media2.dev.to/dynamic/image/width=90,height=90,fit=cover,gravity=auto,format=auto/https:%2F%2Fdev-to-uploads.s3.amazonaws.com%2Fuploads%2Fuser%2Fprofile_image%2F3269005%2F669beb15-1f95-4947-9296-027992f5b61f.jpg Forem: Kaan Hanoğlu https://forem.com/kaan_hanoglu en PHP ile Güvenli Bir Giriş Sistemi Nasıl Oluşturulur? (Ve Sık Yapılan Güvenlik Hataları) Kaan Hanoğlu Mon, 16 Jun 2025 18:05:33 +0000 https://forem.com/kaan_hanoglu/php-ile-guvenli-bir-giris-sistemi-nasil-olusturulur-ve-sik-yapilan-guvenlik-hatalari-312 https://forem.com/kaan_hanoglu/php-ile-guvenli-bir-giris-sistemi-nasil-olusturulur-ve-sik-yapilan-guvenlik-hatalari-312 <p>Web projelerinde kullanıcı giriş sistemi (login system), saldırıya en açık bölümlerden biridir. Özellikle PHP ile geliştirilen sistemlerde güvenliğe dikkat edilmediğinde XSS, SQL Injection, Session Hijacking gibi ataklar sisteminizi tehdit eder.</p> <p>Bu yazıda, sıfırdan güvenli bir PHP giriş sistemi kurmanın temel prensiplerini ve dikkat edilmesi gereken noktaları paylaşacağım.</p> <p><strong>En Yaygın Saldırılar ve Önlemleri</strong></p> <ol> <li> <strong>SQL Injection</strong> Kullanıcının girdiği veriler doğrudan SQL sorgusuna aktarılırsa, saldırgan veritabanınızı silebilir veya kullanıcı bilgilerine erişebilir.</li> </ol> <p><strong>Çözüm:</strong><br> Her zaman prepared statements (PDO veya MySQLi) kullanın:<br> </p> <div class="highlight js-code-highlight"> <pre class="highlight php"><code><span class="nv">$stmt</span> <span class="o">=</span> <span class="nv">$pdo</span><span class="o">-&gt;</span><span class="nf">prepare</span><span class="p">(</span><span class="s2">"SELECT * FROM users WHERE email = :email"</span><span class="p">);</span> <span class="nv">$stmt</span><span class="o">-&gt;</span><span class="nf">execute</span><span class="p">([</span><span class="s1">'email'</span> <span class="o">=&gt;</span> <span class="nv">$email</span><span class="p">]);</span> </code></pre> </div> <p><strong>2. XSS (Cross-Site Scripting)</strong><br> Formlardan gelen veriler filtrelenmeden ekrana yazılırsa, saldırgan kötü amaçlı JavaScript kodları çalıştırabilir.</p> <p>Basit Çözüm:<br> formdan gelen verileri bir clean funcksiyondan geçirdikten sonra, Çıktıları <code>htmlspecialchars()</code> ile güvenli hale getirin: <code>echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');</code></p> <p><strong>3. Session Hijacking</strong><br> Kullanıcı oturumu ele geçirilirse, saldırgan tüm işlemleri onun adına gerçekleştirebilir.</p> <p><strong>Çözüm:</strong><br> <code>session_regenerate_id(true)</code> ile her login işleminden sonra session ID yenileyin.<br> HTTPS zorunluluğu ve <code>SameSite</code>, <code>HttpOnly</code>, <code>Secure</code> cookie ayarlarını kullanın.</p> <p><strong>Güvenli Giriş Sistemi İçin Ekstra İpuçları</strong><br> Şifreleri daima <code>password_hash()</code> türlerinden biri ile şifreleyin.<br> <strong>Brute force</strong> saldırılarına karşı giriş deneme limiti koyun.<br> <strong>CSRF</strong> token kullanın.</p> <p><strong>Gerçek Hayatta Kullanım Örneği:</strong><br> PHP ile geliştirilmiş bir ulaşım hizmeti sistemi olan <a href="https://mavitaksi.com/" rel="noopener noreferrer">İstanbul Korsan Taksi</a>, kullanıcı deneyimini ve güvenliği ön planda tutarak php pdo ile geliştirilmiştir. Bu sistemde hem müşteri paneli hem de yönetici girişleri için güvenlik önlemleri titizlikle uygulanmıştır.</p> webdev programming php pdo