Yazılım

Laravel Uygulamalarını Yaygın Saldırılardan Nasıl Korursunuz?

teknomers
teknomers


Laravel Güvenliği Neden Önemlidir

Modern web uygulamaları şunlarla ilgilenir:

  • Kullanıcı verileri
  • Ödemeler
  • Kimlik doğrulama jetonları
  • API’ler & entegrasyonlar

Küçük bir güvenlik açığı şunlara yol açabilir:

  • Veri sızıntıları
  • Hesap ele geçirmeleri
  • Mali kayıplar
  • İtibar kaybı

Laravel güçlü araçlar sunar — ancak bunları doğru kullanmalısınız.


1. SQL Enjeksiyon Saldırıları


❌ Sorun

Programcılar, kötü niyetli SQL sorguları enjekte ederek veritabanı verilerini okur, değiştirir veya siler.


Laravel Koruması

Laravel, SQL enjeksiyonunu varsayılan olarak önleyen PDO ile hazırlanmış ifadeler kullanır — eğer doğru kullanılırsa.


En İyi Uygulamalar

✔ Her zaman Eloquent veya Query Builder kullanın
✔ Kullanıcı girdilerini ham SQL’de birleştirmeyin
✔ Kesinlikle gerekli olmadıkça DB::raw() kullanmaktan kaçının

// Güvenli
User::where('email', $request->email)->first();

Bunu asla yapmayın

DB::select("SELECT * FROM users WHERE email="$email");


2. Cross-Site Request Forgery (CSRF)


❌ Sorun

Bir saldırgan, oturum açmış bir kullanıcıyı istenmeyen istekler göndermesi için kandırır.


Laravel Koruması

Laravel, token’lar kullanarak otomatik olarak CSRF’ye karşı koruma sağlar.


En İyi Uygulamalar

✔ Her formda @csrf kullanın
✔ CSRF middleware’ini global olarak asla devre dışı bırakmayın
✔ Gerektiğinde API’ler için CSRF koruması kullanın


3. Cross-Site Scripting (XSS)


❌ Sorun

Kötü niyetli script’ler web sayfalarına enjekte edilerek kullanıcıların tarayıcılarında çalıştırılır.


Laravel Koruması

Laravel, çıkışı varsayılan olarak Blade ile kaçırır.


En İyi Uygulamalar

✔ Her zaman {{ }} yerine {!! !!} kullanmayın
✔ Kullanıcı girdilerini sterilize edin
✔ HTML girdi sınırları ve doğrulaması yapın

{{ $user->name }}

🚫 Tehlikeli:

{!! $user->comment !!}


4. Kimlik Doğrulama & Şifre Saldırıları


❌ Sorun

Zayıf kimlik doğrulama, brute-force saldırılarına ve hesap ele geçirmelerine yol açar.


Laravel Koruması

Laravel, bcrypt/argon2 hashing, oran sınırlandırma ve güvenli oturumlar kullanır.


En İyi Uygulamalar

✔ Şifreleri her zaman hash’leyin
✔ Laravel kimlik doğrulama iskeletini kullanın
✔ Giriş yollarında oran sınırlamayı etkinleştirin
✔ Güçlü şifre kuralları uygulayın

Hash::make($request->password);

RateLimiter::for(, function () {
    return Limit::perMinute(5);
});


5. Kırık Erişim Kontrolü


❌ Sorun

Kullanıcılar, erişimleri olmayan verilere veya eylemlere erişim sağlar.


Laravel Koruması

Laravel, Politikalar & Kapılar sağlar.


En İyi Uygulamalar

✔ Yetkilendirme için politikaları kullanın
✔ Ön yüz kontrollerine asla güvenmeyin
✔ Middleware ile yolları koruyun

$this->authorize(, );

Route::middleware()->group(function () {
    // güvenli yollar
});


6. API Güvenlik Sorunları


❌ Sorun

Açık API’ler, yetkisiz erişime izin verir.


Laravel Koruması

Laravel Sanctum & Passport, API’leri güvence altına almak için yardımcı olur.


En İyi Uygulamalar

✔ Token tabanlı kimlik doğrulama kullanın
✔ Oran sınırlaması uygulayın
✔ Her API isteğini doğrulayın
✔ Hassas alanları gizleyin

Route::middleware()->get(, function () {
    return auth()->user();
});


7. Dosya Yükleme Güvenlik Açıkları


❌ Sorun

Saldırganlar zarar verici dosyalar veya script’ler yükler.


En İyi Uygulamalar

✔ Dosya türünü ve boyutunu doğrulayın
✔ Dosya uzantılarına asla güvenmeyin
✔ Dosyaları genel dizin dışına depolayın
✔ Yüklenen dosyaları yeniden adlandırın

$request->validate([
    => ,
]);


8. Ortam & Konfigürasyon Sızıntıları


❌ Sorun

Açık .env dosyası, veritabanı kimlik bilgileri ve API anahtarlarını ifşa eder.


En İyi Uygulamalar

✔ Asla .env‘yi halka açık hale getirmeyin
✔ Üretimde APP_DEBUG=false ayarını yapın
✔ Uygun sunucu izinlerini kullanın

APP_ENV=production
APP_DEBUG=false


9. HTTPS & Oturum Güvenliği


❌ Sorun

Güvensiz bağlantılar üzerinden iletilen veriler.


En İyi Uygulamalar

✔ HTTPS’i zorunlu kılın
✔ Güvenli çerezler kullanın
✔ SameSite çerezlerini etkinleştirin

=> ,
=> ,


10. Doğrulama & Toplu Atama Saldırıları


❌ Sorun

Kullanıcılar hassas alanları (örneğin is_admin) değiştirebilir.


✅ En İyi Uygulamalar

✔ Girdileri her zaman doğrulayın
$fillable veya $guarded kullanın

protected $fillable = [, ];


11. Laravel’ı Güncel Tutun

Eski sürümler = bilinen güvenlik açıkları.


En İyi Uygulamalar

✔ Laravel & paketleri düzenli olarak güncelleyin
✔ Güvenlik duyurularını izleyin
✔ Kullanılmayan paketleri kaldırın


Laravel Güvenlik Kontrol Listesi

✅ Eloquent / Query Builder kullanın
✅ CSRF korumasını etkinleştirin
✅ Çıkışı kaçırın (XSS koruması)
✅ Güvenli kimlik doğrulama & şifreler kullanın
✅ Politika ve middleware kullanın
✅ API’leri güvence altına alın
✅ Yüklemeleri doğrulayın
.env dosyasını koruyun
✅ HTTPS’yi zorunlu kılın
✅ Laravel’ı güncel tutun

Kaynak: Orijinal Makale

Contents
Laravel’de Repository Deseni: Karmaşık Kodunuzu Temizleyin
Laravel için Nihai Yapay Zeka Ajanı (2026)
S3 Kullanarak Ölçeklenebilir Bir Dosya Depolama Sistemi Kurma
Claude Kodunu Bir Laravel Geliştiricisi Gibi Düşünmeye Öğretmek: Ajan Yeteneklerinin Tanıtımı
Yarış Durumlarını Ortadan Kaldırma: Laravel’de İyimser Kilitleme
Bu Makaleyi Paylaş
Önceki Makale Savaş Alanında Geçmişe Yolculuk: Krallığın Gururu Kaldırılıyor
Sonraki Makale Western Digital’dan 40TB HDD ve 2029’da 100TB HAMR duyurusu

Sanal Medya

Son Eklenenler

Final Fantasy 7’de Bulut’u Kara Büyücüye Dönüştüren Yenilikçi Sistem
Oyun
Yenilenen Korku Hikayesi: Michael Myers Maskesi ve Bıçağını Buldu
Oyun
Kripto Para Piyasasında Sert Düşüş: Bitcoin ve Ether FTX Krizinden Beri En Kötü Haftayı Geçirdi
Finans
Laravel ile Çok Kiracılı Bir Bordro Motoru Geliştirirken Öğrendiklerimiz
Yazılım
Final Fantasy 7 Dünyasında Keşfedilecek 22 Yeni Ekran Görüntüsü
Oyun
RTX 3050 Ti mühendislik örneği fotoğraflarda ve testlerde göründü
Donanım