Laravel Güvenlik En İyi Uygulamaları

Laravel uygulamalarını yaygın güvenlik açıklarına karşı korumak için kapsamlı güvenlik rehberi.

Ne Zaman Aktif Edilir

• Kimlik doğrulama veya yetkilendirme ekleme
• Kullanıcı girişi ve dosya yüklemelerini işleme
• Yeni API endpoint'leri oluşturma
• Gizli bilgileri ve ortam ayarlarını yönetme
• Production deployment'ları sertleştirme

Nasıl Çalışır

• Middleware temel korumalar sağlar (CSRF için VerifyCsrfToken, güvenlik başlıkları için SecurityHeaders).
• Guard'lar ve policy'ler erişim kontrolünü zorlar (auth:sanctum, $this->authorize, policy middleware).
• Form Request'ler servislere ulaşmadan önce girişi doğrular ve şekillendirir (UploadInvoiceRequest).
• Rate limiting, auth kontrolleri ile birlikte kötüye kullanım koruması ekler (RateLimiter::for('login')).
• Veri güvenliği encrypted cast'lerden, mass-assignment korumalarından ve signed route'lardan gelir (URL::temporarySignedRoute + signed middleware).

Temel Güvenlik Ayarları

• Production'da APP_DEBUG=false
• APP_KEY ayarlanmalı ve tehlikeye girdiğinde döndürülmelidir
• SESSION_SECURE_COOKIE=true ve SESSION_SAME_SITE=lax ayarlayın (veya hassas uygulamalar için strict)
• Doğru HTTPS algılama için güvenilir proxy'leri yapılandırın

Session ve Cookie Sertleştirme

• JavaScript erişimini önlemek için SESSION_HTTP_ONLY=true ayarlayın
• Yüksek riskli akışlar için SESSION_SAME_SITE=strict kullanın
• Login ve ayrıcalık değişikliklerinde session'ları yeniden oluşturun

Kimlik Doğrulama ve Token'lar

• API kimlik doğrulama için Laravel Sanctum veya Passport kullanın
• Hassas veriler için yenileme akışları ile kısa ömürlü token'ları tercih edin
• Logout ve tehlikeye girmiş hesaplarda token'ları iptal edin

Örnek route koruması:

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Route;

Route::middleware('auth:sanctum')->get('/me', function (Request $request) {
    return $request->user();
});

Parola Güvenliği

• Hash::make() ile parolaları hash'leyin ve asla düz metin saklamayın
• Sıfırlama akışları için Laravel'in password broker'ını kullanın

use Illuminate\Support\Facades\Hash;
use Illuminate\Validation\Rules\Password;

$validated = $request->validate([
    'password' => ['required', 'string', Password::min(12)->letters()->mixedCase()->numbers()->symbols()],
]);

$user->update(['password' => Hash::make($validated['password'])]);

Yetkilendirme: Policy'ler ve Gate'ler

• Model seviyesi yetkilendirme için policy'leri kullanın
• Controller'larda ve servislerde yetkilendirmeyi zorlayın

$this->authorize('update', $project);

Route seviyesi zorlama için policy middleware kullanın:

use Illuminate\Support\Facades\Route;

Route::put('/projects/{project}', [ProjectController::class, 'update'])
    ->middleware(['auth:sanctum', 'can:update,project']);

Validation ve Veri Temizleme

• Her zaman Form Request'ler ile girişleri doğrulayın
• Sıkı validation kuralları ve tip kontrolleri kullanın
• Türetilmiş alanlar için request payload'larına asla güvenmeyin

Mass Assignment Koruması

• $fillable veya $guarded kullanın ve Model::unguard() kullanmaktan kaçının
• DTO'ları veya açık attribute mapping'i tercih edin

SQL Injection Önleme

• Eloquent veya query builder parametre binding kullanın
• Kesinlikle gerekli olmadıkça raw SQL kullanmaktan kaçının

DB::select('select * from users where email = ?', [$email]);

XSS Önleme

• Blade varsayılan olarak çıktıyı escape eder ({{ }})
• {!! !!} sadece güvenilir, temizlenmiş HTML için kullanın
• Zengin metni özel bir kütüphane ile temizleyin

CSRF Koruması

• VerifyCsrfToken middleware'ini etkin tutun
• Formlara @csrf ekleyin ve SPA istekleri için XSRF token'ları gönderin

Sanctum ile SPA kimlik doğrulaması için, stateful isteklerin yapılandırıldığından emin olun:

// config/sanctum.php
'stateful' => explode(',', env('SANCTUM_STATEFUL_DOMAINS', 'localhost')),

…