PHP güvenliği, her katmanda — giriş işleme, veritabanı erişimi, çıkış, kimlik doğrulama ve yapılandırma — yaygın web zafiyetlerine (OWASP Top 10) karşı savunmak anlamına gelir. PHP web'in çok büyük bir kısmını güçlendirdiğinden, bu uygulamalar kritiktir.
->( . []);
= ->();
->([[]]);
// ❌ echoing raw user input → XSS (injected scripts run in the browser)
echo $_GET['name'];
// ✅ escape output for HTML context
echo htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
Kullanıcı tarafından kontrol edilen verileri çıktıda kaçış yapın (htmlspecialchars) böylece injekte edilen HTML/JS çalışamaz. (Twig/Blade gibi şablonlama motorları otomatik olarak kaçış yapar.)
// ✅ use password_hash (bcrypt/argon2) — never plaintext, never MD5/SHA
$hash = password_hash($password, PASSWORD_DEFAULT);
// verify:
if (password_verify($input, $hash)) { /* correct password */ }
PHP'nin yerleşik password_hash/password_verify güçlü, salt'lı, yavaş algoritmalar kullanır — şifreleri saklamanın doğru yoludur.
// generate a token, store in the session, include in forms, verify on submit
$_SESSION['csrf'] = bin2hex(random_bytes(32));
// verify on POST: hash_equals($_SESSION['csrf'], $_POST['csrf'])
$email = filter_var($_POST['email'], FILTER_VALIDATE_EMAIL); // validate
$id = (int) $_GET['id']; // cast/whitelist
// never trust $_GET/$_POST/$_COOKIE — validate everything
✓ display_errors=Off in production (don't leak stack traces/internals to users — log instead)
✓ Keep secrets in env vars / config outside the web root, NOT in code/git
✓ Use HTTPS; set secure/httponly/samesite cookie flags
✓ Keep PHP and dependencies UPDATED (composer audit for vulnerable packages)
✓ Validate file uploads (type, size); store outside the web root
✓ Use a maintained framework (Laravel/Symfony) — they handle many protections by default
Güvenlik PHP uygulamaları için kritiktir ve bu uygulamaları anlamak gereklidir — çünkü PHP web'in muazzam bir bölümünü güçlendirir, PHP uygulamaları sabit saldırı hedefleridir ve güvenlik başarısızlıkları felaket olabilir (veri ihlalleri, hesap uzlaştırması, değiştirilme).
PHP en yaygın ve tehlikeli web zafiyetlerine karşı korunma sağlar, ancak bazı çerçevelerin aksine, çoğu şey geliştiricinin doğru uygulamaları takip etmesine bağlıdır.
Taslak edilemez temel öğeler: hazırlanmış sorgular SQL injection'ı (en yaygın ve yıkıcı saldırılardan biri) önler, çıktı kaçışı (htmlspecialchars) XSS'yi önler, password_hash/password_verify güvenli şifre depolamasını sağlar (asla düz metin/zayıf hash'ler), CSRF tokenler durum değiştiren istekleri korur ve katı giriş doğrulaması ($_GET/$_POST/$_COOKIE asla güvenilmez) temeldir.
Eşit derecede önemli olan güvenli yapılandırma: üretimde hata görüntülemeyi kapatmak (hatalar saldırganlara hassas bilgiler sızıtır), sırları kodun dışında tutmak, HTTPS ve güvenli çerez bayraklarını kullanmak, yüklemeleri doğrulamak ve PHP ile bağımlılıkları güncel tutmak (güvenlik açığı bulunan paketler büyük bir saldırı vektörüdür).
Bu katmanlı, derinlemesine savunma yaklaşımını — ve tek bir gözden kaçan katmanın (bir enjeksiyon, sızdırılan gizli, kaçışsız çıktı, yamasız bağımlılık) tüm sistemi tehlikeye düşürebileceğini — anlamak, herhangi bir PHP geliştiricisi için önemli, yüksek bahisli bilgidir.
Modern çerçeveleri (Laravel, Symfony) varsayılan olarak birçok koruma sağlasalar da, altta yatan tehdit ve uygulamaları anlamak güvenli uygulamalar oluşturmak için gerekli bir sorumluluktur ve bu, üretim PHP'si için kritik, sık ilgili bir konudur.