Eğer kullanıcıların üye olarak bilgilerini paylaştığı bir ağ tabanlı sistem geliştiriyorsanız (Session,Cookie) ve bu bilgileri bir veritabanında saklıyorsanız; bu bilgiler kullanıcı ve sunucu arasında olduğundan dolayı araya 3. bir kişinin girmesine izin vermemek için kendinizden emin olana dek tüm güvenlik risklerini gözden geçirmeniz gereklidir.

Bunun başlangıç noktası projeye başlamadan önce küçük hataları önlemektir.Burada size anlatacağım konu PHP ile olduğu için kodlama yaparken nelere dikkat etmeniz ve bazı ipuçlarını öğrenmenizdir.

Aşağıda güvenlik ipuçları olarak verdiğim bilgiler projenizi geliştirirken dikkat etmenizi kesinlikle tavsiye ettiğim yöntemlerdir.

1-  Üye ismi ve şifresini 6 karakter veya daha uzun yapın.

2-  Oturum açma hatasında kullanıcıyı bilgilendirin.
Kullanıcı sisteme giriş yaparken eğer parolayı yanlış girmişse hata mesajı gösterin.Eğer tekrar yanlış parola ile girmeye çalışıyorsa üç yanlış denemeden sonra o kullanıcı adı ile girişi bir müddet yasaklayın ve şifremi unuttum bölümüne yönlendirerek şifrenin mail adresine gelmesini, geldikten sonra değiştirilmesini önerin.

3-  İşlemlerinizin başına @ hata bastırma simgesini yerleştirin.
Birçok PHP fonksiyonunun önünde @ simgesi yer alır.Eğer yapılması istenen işlem başarısız olursa @ simgesi hatanın ekranda gösterilmesini önleyecektir.En faydalı olduğu işlemlerin başında SQL ile veritabanında bir işlem yaptığınızda hatanın gösterilmesini engeller.Bu hataların engellenmesi ile SQL hatalarından kaynaklanan güvenlik açıklarınıda engellemiş oluruz.

4-  Kullanıcı parolalarını veritabanında şifreleyerek saklayın (MD5,CRYPT,SHA-1)
Eğer biri veritabanınıza erişim sağladıysa tüm kullanıcı bilgilerini ve parolalarını görebilir.Ama parolayı bir şifreleme yöntemi ile sakladığımızda kişinin parolayı öğrenmesini engelleriz.Şifreleme Metodları yazımda bu konu hakkında detaylı bilgi alabilirsiniz.

5-  Hiçbir zaman yönetici isminizi admin,root veya yönetici şeklinde yapmayın.
Herkesin bildiği ve çok kullanılan üye isimlerini kullanmanız risklidir.

6-  Kullanıcının sisteme giriş yaptığı son zamanı ve IP adresini saklayın.
Kullanıcının giriş yaptığı son zamanı saklayın ve IP adresini kaydedin.Ayrıca kullanıcı daha sonra giriş yaptığında son giriş zamanını ve ip adresini kullanıcıyada gösterin.

7-  Herhangi bir form alanı verisinden tehlikeli SQL,PHP,HTML komutlarını ve karakterleri temizleyin.
strip_tags() , str_replace() ve stripslashes() fonksiyonları ile bu komutları engelleyebilirsiniz.

8-  HTML form alanlarınızda “maxlenght” seçeneğini kullanın.
Eğer veritabanında saklayacağınız üye ismi veya parolanın maximum uzunluğunu 8 karakter olarak belirlemek isterseniz form alanınıza “maxlenght” seçeneğini eklemeniz gereklidir.Bu sayede uzun girişleri engelleyebilirsiniz.

Örnek: <input type=”text” name=”giris” size=”8″ maxlenght=”8″>

9-  $_REQUEST yerine $_POST kullanın.

10-  Son olarakta eğer önemli ve büyük bir projeyse SSL Sertifikası kullanın.
Daha yazılması gereken birçok şey var fakat tecrübe kazandıkça herşeyi öğreneceksiniz.Şu an için temel önlemleri öğrenmeniz diğer yöntemler için bir alt yapı taşıyacaktır.

Sitenin bazı sayfa ve bölümlerine erişimi sınırlandırmak için yazdığım makalede tek yetkili olarak girilebiliniyordu. Erişim izni verilen kullanıcıları çoğaltmak için bunun üzerinde farklı yöntemlerde denenir fakat ben en basitini göstermeyi uygun gördüm. Yapacağımız bir txt dosyamıza kullanıcıları ve karşlığınada şifreleri tanımlamak. Sonra bir döngüye girerek dosyada tanımlanan kullanıcıları doğrulayıp erişim izni vermektir.
Baştan yetkililer isminde bir txt dosya oluşturuyoruz. Kendi belirlediğiniz ismide verebilirsiniz.

İçeriği aşağıdaki gibi yetkili|sifre şeklinde olacak.

Güray|123456
admin|admin

En son olarak kodumuzun bulunduğu sayfamızı yapalım ve iki dosyayı aynı dizin içinde kullanmalıyız, bunu kendi isteğinize göre değiştirebilirsiniz.

<?php

if (!isset($PHP_AUTH_USER)){

header('WWW-Authenticate: Basic realm="Erişim Sınırlandırılmıştır"');

header('HTTP/1.0 401 Unauthorized');

echo "Bu Sayfayı Görüntüleyebilmek İçin Giriş Yapmanız Gereklidir";

exit;

}

$liste = file("yetkililer.txt");

$i=0; $dogrulama=false;

while($liste[$i] && !$dogrulama){

$yetkili = explode("|",$liste[$i]);

if (($PHP_AUTH_USER==$yetkili[0]) && ($PHP_AUTH_PW==chop($yetkili[1]))) $validado=true;

$i++;

}

if (!$dogrulama){

header('WWW-Authenticate: Basic realm="Erişim Sınırlandırılmıştır"');

header('HTTP/1.0 401 Unauthorized');

echo 'Bu Sayfayı Görüntüleyebilmek İçin Giriş Yapmanız Gereklidir';

exit;

}

?>

<html>

<head>

<title>Sınırlı Erişim Sayfası</title>

</head>

<body>

Merhaba <b><?php echo $PHP_AUTH_USER ?></b> burası sizin Özel Sayfanız.

</body>

</html>

Uygulama dosyasını buradan indirebilirsiniz.

PHP ile uygulama geliştirmeyi artık ilerlettiniz ve işin en önemli kısmı güvenliğe geldi.Zaten güvenlik sonradan yapılması gereken birşey değildir daha kod yazmaya başlarken bunu benimsemeniz gereklidir.Bu yüzden yazacağınız kodlarda hataya düşmemeniz için bazı önlemler almanız lazım.

Bunun için PHP Security Consortium (PHPSC) çok güzel bir kaynak hazırlamış.