Giriş doğrulaması neden güvenlik açısından önemlidir?

Question

Accepted Answer

**Giriş doğrulaması** — kullanıcı girdisinin işlenmeden önce beklenen kriterleri karşılayıp karşılamadığını kontrol etme — temel bir güvenlik uygulamasıdır. Saldırılar çoğunlukla kötü amaçlı girdiler aracılığıyla gerçekleştiğinden, girdinin doğrulanması (ve temizlenmesi) birçok güvenlik açığını önlemeye yardımcı olur. Temel ilke: **asla kullanıcı girdisine güvenmeyin**.

## Asla kullanıcı girdisine güvenmeyin

```text
ALL input from outside (users, APIs, files, requests) is UNTRUSTED — it can be malicious:
  → attackers send crafted input to exploit vulnerabilities (injection, XSS, etc.)
  → "never trust the client" — input can be anything, including attacks
→ Validate and handle ALL external input as potentially hostile.
```

## Giriş doğrulaması ne yapar

```text
VALIDATION → check input meets expected criteria; reject what doesn't:
  → TYPE (is it a number?), FORMAT (valid email?), RANGE (0-120?), LENGTH (max?),
    allowed values (whitelist), required fields
  → PREFER ALLOWLISTING (accept known-good) over blocklisting (reject known-bad —
    incomplete; attackers find bypasses)
→ reject/handle invalid input safely (don't process it)
```

## Doğrulama ve güvenlik (derinlemesine savunma)

```text
✓ Helps prevent INJECTION attacks, malformed-data exploits, buffer issues, logic abuse
⚠️ But validation ALONE isn't enough — use CONTEXT-SPECIFIC defenses too:
  → SQL → parameterized queries (not just validation)
  → output to HTML → escaping (prevents XSS) — validation isn't a substitute
→ Input validation is one LAYER (defense in depth), not the only defense.
✓ Validate on the SERVER (client-side validation is for UX only — easily bypassed)
```

## Neden önemli

Giriş doğrulamasının güvenlik açısından neden önemli olduğunu anlamak temeldir çünkü **saldırılar sık sık kötü amaçlı girdiler aracılığıyla gerçekleşir** ve kullanıcı girdisine güvenmeyin ilkesi güvenli kodlamanın çoğunun temelini oluşturduğundan, bu bilgi gerekli bir güvenlik bilgisidir.

Temel ilke — **asla kullanıcı girdisine güvenmeyin** (dışarıdan gelen tüm girdiler güvenilmez ve potansiyel olarak kötü amaçlıdır, saldırganlar güvenlik açıklarından yararlanmak için hazırlanmış girdiler gönderirler) — güvenlik düşüncesinin temelini oluşturur ve geniş çapta geçerlidir.

**Giriş doğrulamasının ne yaptığını** anlamak (girdinin beklenen kriterleri — tür, format, aralık, uzunluk, izin verilen değerler — karşılayıp karşılamadığını kontrol etme ve karşılamayan girdileri reddetme, bilinen kötü olanları engellemeye çalışmaktansa **beyaz liste** bilinen iyileri tercih etme) pratik mekanizmadır ve güvenilmeyen girdileri güvenli bir şekilde işlemeyi sağlar.

Doğrulamanın **derinlemesine savunma içindeki rolünü** anlamak önemli ve nüanslıdır: doğrulama enjeksiyon saldırılarını ve yanlış biçimlendirilmiş veri istismarlarını önlemeye yardımcı olur, fakat **doğrulama tek başına yeterli değildir** — bağlama özel savunmalar da gereklidir (SQL için parametreli sorgular, XSS için çıktı kaçışı — doğrulama bunların yerine geçmez).

Bu nedenle giriş doğrulaması birkaç katmandan **biri** — tek savunma değildir; bu önemli bir ayrım olup, doğrulamaya aşırı güven duymaktan kaçınmayı sağlar.

Kritik olarak, doğrulamanın **sunucu** tarafında gerçekleşmesi gerektiğini anlamak (istemci tarafı doğrulaması yalnızca UX içindir ve kolayca atlatılabilir — buna güvenmenin yaygın bir güvenlik hatası olması) gereklidir.

Saldırılar çoğunlukla kötü amaçlı girdiler aracılığıyla geldiğinden ve güvenilmeyen girdiye güven duymama ilkesi güvenli kodlamanın temelini oluşturduğundan, ve giriş doğrulaması (sunucu tarafında yapıldığında, bağlama özel korumalarla birlikte derinlemesine savunmanın bir katmanı olarak) birçok güvenlik açığını önlemeye yardımcı olduğundan, ve rolü ile sınırlamalarını anlamak güvenli yazılım geliştirme için gerekli olduğundan, giriş doğrulamasının neden önemli olduğunu anlamak temel, gerekli bir güvenlik bilgisidir — güvenilmeyen girdiye güvenmeyin ilkesini somutlaştırır, savunmanın temel bir katmanıdır ve güvenli yazılım inşa etmek için gerekli bilgiyedir (sunucu tarafı uygulanması ve derinlemesine savunma içindeki yeri dahil olmak üzere).