Yazılım

Laravel Uygulamalarını Yaygın Saldırılardan Nasıl Korursunuz?

teknomers
teknomers


Laravel Güvenliği Neden Önemlidir

Modern web uygulamaları şunlarla ilgilenir:

  • Kullanıcı verileri
  • Ödemeler
  • Kimlik doğrulama jetonları
  • API’ler & entegrasyonlar

Küçük bir güvenlik açığı şunlara yol açabilir:

  • Veri sızıntıları
  • Hesap ele geçirmeleri
  • Mali kayıplar
  • İtibar kaybı

Laravel güçlü araçlar sunar — ancak bunları doğru kullanmalısınız.


1. SQL Enjeksiyon Saldırıları


❌ Sorun

Programcılar, kötü niyetli SQL sorguları enjekte ederek veritabanı verilerini okur, değiştirir veya siler.


Laravel Koruması

Laravel, SQL enjeksiyonunu varsayılan olarak önleyen PDO ile hazırlanmış ifadeler kullanır — eğer doğru kullanılırsa.


En İyi Uygulamalar

✔ Her zaman Eloquent veya Query Builder kullanın
✔ Kullanıcı girdilerini ham SQL’de birleştirmeyin
✔ Kesinlikle gerekli olmadıkça DB::raw() kullanmaktan kaçının

// Güvenli
User::where('email', $request->email)->first();

Bunu asla yapmayın

DB::select("SELECT * FROM users WHERE email="$email");


2. Cross-Site Request Forgery (CSRF)


❌ Sorun

Bir saldırgan, oturum açmış bir kullanıcıyı istenmeyen istekler göndermesi için kandırır.


Laravel Koruması

Laravel, token’lar kullanarak otomatik olarak CSRF’ye karşı koruma sağlar.


En İyi Uygulamalar

✔ Her formda @csrf kullanın
✔ CSRF middleware’ini global olarak asla devre dışı bırakmayın
✔ Gerektiğinde API’ler için CSRF koruması kullanın


3. Cross-Site Scripting (XSS)


❌ Sorun

Kötü niyetli script’ler web sayfalarına enjekte edilerek kullanıcıların tarayıcılarında çalıştırılır.


Laravel Koruması

Laravel, çıkışı varsayılan olarak Blade ile kaçırır.


En İyi Uygulamalar

✔ Her zaman {{ }} yerine {!! !!} kullanmayın
✔ Kullanıcı girdilerini sterilize edin
✔ HTML girdi sınırları ve doğrulaması yapın

{{ $user->name }}

🚫 Tehlikeli:

{!! $user->comment !!}


4. Kimlik Doğrulama & Şifre Saldırıları


❌ Sorun

Zayıf kimlik doğrulama, brute-force saldırılarına ve hesap ele geçirmelerine yol açar.


Laravel Koruması

Laravel, bcrypt/argon2 hashing, oran sınırlandırma ve güvenli oturumlar kullanır.


En İyi Uygulamalar

✔ Şifreleri her zaman hash’leyin
✔ Laravel kimlik doğrulama iskeletini kullanın
✔ Giriş yollarında oran sınırlamayı etkinleştirin
✔ Güçlü şifre kuralları uygulayın

Hash::make($request->password);

RateLimiter::for(, function () {
    return Limit::perMinute(5);
});


5. Kırık Erişim Kontrolü


❌ Sorun

Kullanıcılar, erişimleri olmayan verilere veya eylemlere erişim sağlar.


Laravel Koruması

Laravel, Politikalar & Kapılar sağlar.


En İyi Uygulamalar

✔ Yetkilendirme için politikaları kullanın
✔ Ön yüz kontrollerine asla güvenmeyin
✔ Middleware ile yolları koruyun

$this->authorize(, );

Route::middleware()->group(function () {
    // güvenli yollar
});


6. API Güvenlik Sorunları


❌ Sorun

Açık API’ler, yetkisiz erişime izin verir.


Laravel Koruması

Laravel Sanctum & Passport, API’leri güvence altına almak için yardımcı olur.


En İyi Uygulamalar

✔ Token tabanlı kimlik doğrulama kullanın
✔ Oran sınırlaması uygulayın
✔ Her API isteğini doğrulayın
✔ Hassas alanları gizleyin

Route::middleware()->get(, function () {
    return auth()->user();
});


7. Dosya Yükleme Güvenlik Açıkları


❌ Sorun

Saldırganlar zarar verici dosyalar veya script’ler yükler.


En İyi Uygulamalar

✔ Dosya türünü ve boyutunu doğrulayın
✔ Dosya uzantılarına asla güvenmeyin
✔ Dosyaları genel dizin dışına depolayın
✔ Yüklenen dosyaları yeniden adlandırın

$request->validate([
    => ,
]);


8. Ortam & Konfigürasyon Sızıntıları


❌ Sorun

Açık .env dosyası, veritabanı kimlik bilgileri ve API anahtarlarını ifşa eder.


En İyi Uygulamalar

✔ Asla .env‘yi halka açık hale getirmeyin
✔ Üretimde APP_DEBUG=false ayarını yapın
✔ Uygun sunucu izinlerini kullanın

APP_ENV=production
APP_DEBUG=false


9. HTTPS & Oturum Güvenliği


❌ Sorun

Güvensiz bağlantılar üzerinden iletilen veriler.


En İyi Uygulamalar

✔ HTTPS’i zorunlu kılın
✔ Güvenli çerezler kullanın
✔ SameSite çerezlerini etkinleştirin

=> ,
=> ,


10. Doğrulama & Toplu Atama Saldırıları


❌ Sorun

Kullanıcılar hassas alanları (örneğin is_admin) değiştirebilir.


✅ En İyi Uygulamalar

✔ Girdileri her zaman doğrulayın
$fillable veya $guarded kullanın

protected $fillable = [, ];


11. Laravel’ı Güncel Tutun

Eski sürümler = bilinen güvenlik açıkları.


En İyi Uygulamalar

✔ Laravel & paketleri düzenli olarak güncelleyin
✔ Güvenlik duyurularını izleyin
✔ Kullanılmayan paketleri kaldırın


Laravel Güvenlik Kontrol Listesi

✅ Eloquent / Query Builder kullanın
✅ CSRF korumasını etkinleştirin
✅ Çıkışı kaçırın (XSS koruması)
✅ Güvenli kimlik doğrulama & şifreler kullanın
✅ Politika ve middleware kullanın
✅ API’leri güvence altına alın
✅ Yüklemeleri doğrulayın
.env dosyasını koruyun
✅ HTTPS’yi zorunlu kılın
✅ Laravel’ı güncel tutun

Kaynak: Orijinal Makale

Contents
Dağıtımlardan Korkmayı Bırakın: Laravel Pennant ile Özellik Bayrakları
Laravel AI SDK Eğitimi Bölüm 2: Araçlar ve Bellek ile RAG Destek Botu Oluşturma
Livewire 3 Uygulamalarını Deploynix Üzerinde Yayınlama: Bilmeniz Gerekenler
SaaS 2.0 Planı: Neden 2026’da Çoklu Kiracılığı ve Filament’i Seçiyorum
Gerçek Projelerde Laravel Performansı Hakkında Zor Yoldan Öğrendiğimiz 6 Şey
Bu Makaleyi Paylaş
Önceki Makale Savaş Alanında Geçmişe Yolculuk: Krallığın Gururu Kaldırılıyor
Sonraki Makale Western Digital’dan 40TB HDD ve 2029’da 100TB HAMR duyurusu

Sanal Medya

Son Eklenenler

GOG Nazi Sembolleriyle İlgili E-Posta Göndermek Üzere Özür Diledi
Liste
En İyi 3 Güvenilir Chime Hesap Sağlayıcısı
Yazılım
2TB PCIe 4.0 SSD, 750W PSU ve 240mm AIO ile 300$’a PC Yükseltin
Donanım
WWDC 2026’da Bizi Neler Bekliyor: Siri Yeniden Doğuyor ve Apple Akıllı Güncellemeleri
Genel
Hikaye Dolu Oyunlarla Dolu İlk Etkinlik Heyecan Yarattı
Liste
Final Fantasy 7 Yeniliklerinde Sephiroth’a Beklenmedik Dokunuş
Oyun