Girdi Temizlemenin Önemi
Girdi temizleme, bir web uygulamasında kullanıcıdan alınan verilerin güvenli hale getirilmesi sürecidir. Kullanıcıdan alınan veriler, potansiyel olarak zararlı olabilir ve bu nedenle verilerin doğruluğunu ve güvenliğini sağlamak için temizlenmesi gereklidir. Özellikle, SQL Injection, XSS (Cross-Site Scripting) ve diğer siber saldırı türlerini önlemek için girdi temizleme kritik bir öneme sahiptir.
PHP’de Girdi Temizleme Yöntemleri
PHP, girdi temizleme için çeşitli yerleşik fonksiyonlar sunar. Bu fonksiyonlar, öncelikle verilerin tipine ve bağlamına bağlı olarak kullanılmalıdır.
`filter_input()` Fonksiyonu
`filter_input()` fonksiyonu, dışarıdan gelen verileri filtrelemek ve temizlemek için etkili bir yöntemdir. Bu fonksiyon, çeşitli parametreler alır ve kullanıcının girdiği verileri istenmeyen karakterlerden arındırır. `filter_input()` fonksiyonu şu şekilde kullanılır:
“`php
$temiz_girdi = filter_input(INPUT_POST, ‘girdi_adi’, FILTER_SANITIZE_STRING);
“`
Burada `FILTER_SANITIZE_STRING`, sadece metin verilerini kabul eder ve HTML etiketlerini kaldırır. Bu sayede gelen veri, potansiyel olarak tehlikeli içeriklerden arındırılmış olur.
`filter_var()` Fonksiyonu
Bir diğer yaygın olarak kullanılan fonksiyon `filter_var()`dır. Bu fonksiyon, çeşitli filtreleme seçenekleri ile birlikte kullanılabilir. Örneğin, e-posta adresleri gibi belirli bir formatta olması gereken verilerin temizlenmesi için kullanılabilir:
“`php
$email = filter_var($gelen_email, FILTER_SANITIZE_EMAIL);
“`
Bu kullanım, e-posta adresinin geçersiz karakterlerden arındırılmasını sağlar.
Regular Expressions (Düzenli İfadeler)
Düzenli ifadeler, daha karmaşık girdi temizleme işlemleri için kullanılabilir. Kullanıcının girdisini belirli bir kurala göre kontrol etmek ve temizlemek için düzenli ifadeler etkili bir yöntemdir:
“`php
$temiz_girdi = preg_replace(‘/[^a-zA-Z0-9_]/’, ”, $gelen_girdi);
“`
Bu örnekte, yalnızca alfanümerik karakterlerin ve alt çizgi karakterinin kabul edileceği bir düzenli ifade kullanılmıştır.
HTML Entity Dönüşümü
Kullanıcıdan alınan verilerin, HTML’ye dönüşmeden önce temizlenmesi sağlanabilir. `htmlspecialchars()` fonksiyonu, bu işlemi yakından yönetir. Bu fonksiyon, zararlı olabilecek HTML etiketlerini özel karakterlerle dönüştürerek girdi temizleme gerçekleştirir.
“`php
$girdi = htmlspecialchars($gelen_girdi, ENT_QUOTES, ‘UTF-8’);
“`
Bu kullanım, gelen girdinin güvenli bir şekilde görüntülenmesini sağlar ve XSS saldırılarına karşı koruma oluşturur.
Girdi Doğrulama
Girdi temizleme işlemleri kadar önemli bir diğer nokta ise girdi doğrulama sürecidir. Verilerin beklenen formatta olup olmadığını kontrol etmek için sınırlama ve kontrol mekanizmaları uygulanmalıdır. Örneğin, bir yaş alanının pozitif bir tamsayı olması gerektiğini varsayalım:
“`php
$yas = filter_input(INPUT_POST, ‘yas’, FILTER_VALIDATE_INT);
if ($yas === false || $yas < 0) {
// Hatalı girdi
}
```
Bu kod parçası, gelen yaş verisinin tamsayı olup olmadığını kontrol eder ve negatif bir değer durumunda hata verir.
SQL Sorgularında Girdi Temizleme
SQL Injection saldırılarına karşı korunmak amacıyla, kullanıcıdan alınan verilerin SQL sorgularında kullanılmadan önce uygun şekilde temizlenmesi gerekir. PDO (PHP Data Objects) kullanarak hazırlanmış ifadeler ile bu tür saldırılar önlenebilir:
“`php
$stmt = $pdo->prepare(“SELECT FROM kullanicilar WHERE email = :email”);
$stmt->execute([’email’ => $gelen_email]);
“`
Bu yöntemde, kullanıcıdan alınan veriler doğrudan SQL sorgusuna eklenmez; bunun yerine, güvenli bir şekilde hazırlanmış ifade kullanılır.
Güvenlik Uygulamaları
Girdi temizliğinin yanı sıra, genel güvenlik uygulamaları da göz önünde bulundurulmalıdır. Örneğin, veritabanı, dosya sistemi veya kullanıcı arabirimine yönelik gerçekleştirilebilecek olası saldırılara karşı ek önlemler alınmalıdır. Her zaman güncel yazılımlar kullanılmalı ve gerekli güvenlik yamaları uygulanmalıdır.
Sonuç
Girdi temizleme, modern web uygulamaları için kritik bir bileşendir. PHP 7.4, bu işlemleri gerçekleştirmek için güçlü araçlar sunmaktadır. `filter_input()`, `filter_var()`, düzenli ifadeler, HTML entity dönüşümü ve güvenli SQL sorguları, geliştiricilere kullanıcı girdilerinin güvenli bir şekilde işlenmesi konusunda yardımcı olmaktadır. Bu yöntemlerin bir arada kullanılması, uygulamanın güvenliğini artırır ve kullanıcı verilerini korur.
