Form Verilerini Kontrol Etme

Form verilerinin kontrol edilmesi, kullanıcıların doğru ve geçerli verileri göndermesini sağlamak için önemlidir. Form verileri, önceden belirlenmiş bir dizi kurala göre doğru biçimde doldurulduğunda kabul edilir.

Aşağıda, form verilerini kontrol etmek için kullanılan bazı tekniklerin açıklaması ve örnekleri verilmiştir:

1. Boş Alan Kontrolü

Form alanlarından bir veya daha fazlasının boş bırakılması, formun kabul edilemez olduğu anlamına gelebilir. Bu nedenle, boş alanların kontrol edilmesi önemlidir. Bunun için, PHP'de empty() fonksiyonu kullanılır.

if (empty($_POST['username'])) {
  echo "Kullanıcı adı boş bırakılamaz.";
} else {
  // Kullanıcı adı alanı dolduruldu, işleme devam edilebilir.
}

2. Veri Türü Kontrolü

Form alanlarından alınacak verinin doğru türde olması gerektiği durumlarda, PHP'de is_numeric() veya is_string() gibi fonksiyonlar kullanılır.

if (!is_numeric($_POST['age'])) {
  echo "Yaş alanı sadece sayısal değerler içermelidir.";
} else {
  // Yaş alanı doğru şekilde dolduruldu, işleme devam edilebilir.
}

3. Veri Uzunluğu Kontrolü

Form alanlarından alınacak verinin belirli bir uzunluk aralığında olması gerektiği durumlarda, PHP'de strlen() fonksiyonu kullanılır.

if (strlen($_POST['password']) < 8) {
  echo "Şifreniz en az 8 karakter olmalıdır.";
} else {
  // Şifre alanı doğru şekilde dolduruldu, işleme devam edilebilir.
}

4. Veri Formatı Kontrolü

Form alanlarından alınacak verinin belirli bir formatta olması gerektiği durumlarda, PHP'de preg_match() fonksiyonu kullanılır.

if (!preg_match('/^[a-zA-Z0-9_]+$/', $_POST['username'])) {
  echo "Kullanıcı adı yalnızca harfler, sayılar ve alt çizgi içerebilir.";
} else {
  // Kullanıcı adı alanı doğru şekilde dolduruldu, işleme devam edilebilir.
}

Yukarıdaki örnek, kullanıcı adının yalnızca harfler, sayılar ve alt çizgi karakteri içerebileceğini belirtir.

Form verilerini kontrol etmek, web uygulamalarının güvenliği için önemlidir. Ancak, form verilerinin doğru ve güvenli bir şekilde işlenmesi, yalnızca form verilerini kontrol etmekle sınırlı değildir.

Form Verilerini Güvenli Hale Getirme

Form verilerini alırken, kullanıcının gönderdiği verilerin güvenli olmadığını ve manipüle edilebileceğini unutmamak önemlidir. Bu nedenle, form verilerini alırken ve işlerken güvenliğini sağlamak için bazı adımlar atmak gereklidir. Bu adımlar şunları içerebilir:

Gereksiz karakterleri filtreleme ve doğrulama: Verileri filtreleme, gereksiz karakterleri kaldırma ve doğrulama, güvenliği artırmaya yardımcı olur. Bu adımlar, özellikle sayısal girdiler için önemlidir. Örneğin, kullanıcının yalnızca sayısal karakterler girebileceği bir alan varsa, girdiyi kontrol etmek ve sadece sayıları geçerli olarak kabul etmek önemlidir.
Veri türü doğrulaması: Form verileri genellikle belirli bir veri türüne sahip olmalıdır. Örneğin, bir e-posta adresi, belirli bir formatta olmalıdır. Veri türü doğrulaması, bu gereksinimleri sağlamak için kullanılabilir.
SQL enjeksiyon saldırılarına karşı koruma: Form verilerinin veritabanına kaydedilmesi gerekiyorsa, SQL enjeksiyon saldırılarına karşı korunmak önemlidir. Bu, kullanıcı tarafından sağlanan verilerin güvenilirliğini sağlamak için güvenlik önlemlerinin alınmasını içerir.

Aşağıda, form verilerini güvenli hale getirmek için bir örnek gösterilmiştir:

<?php
if($_SERVER['REQUEST_METHOD'] == 'POST') {
  $username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
  $password = filter_input(INPUT_POST, 'password', FILTER_SANITIZE_STRING);
  
  // Veritabanı sorgusu için kullanılacak değişkenlerin hazırlanması
  $prepared_statement = $db->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
  $prepared_statement->bindParam(':username', $username);
  $prepared_statement->bindParam(':password', $password);
  $prepared_statement->execute();
  
  // Giriş işlemi başarılıysa
  if($prepared_statement->rowCount() > 0) {
    // Kullanıcıyı yönlendir
    header('Location: dashboard.php');
    exit;
  } else {
    $error_message = "Hatalı kullanıcı adı veya şifre";
  }
}
?>

Bu örnekte, filter_input() fonksiyonu kullanılarak kullanıcı adı ve şifre değişkenleri temizleniyor. Ardından, SQL enjeksiyon saldırılarına karşı korumak için hazırlanmış bir veritabanı sorgusu yapılıyor. Bu sorgu, önceden hazırlanmış ifadeler, veritabanına yerleştirilecek değerlerin yerini belirlemek için kullanılır. Bu değerler kullanıcı tarafından sağlandığı için, SQL enjeksiyonu gibi kötü amaçlı saldırılara karşı koruma sağlamak için bu yöntem önerilir.

Örneğin, aşağıdaki kod örneği, kullanıcının adını ve şifresini içeren bir formdan veri alır ve veritabanına kaydeder. Kaydetmeden önce, gelen veriler "filter_input()" fonksiyonu kullanılarak temizlenir ve hazırlanmış ifadeler kullanılarak SQL enjeksiyonuna karşı koruma sağlanır:

// kullanıcı adı ve şifre değişkenlerini $_POST dizisinden al
$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);
$password = filter_input(INPUT_POST, 'password', FILTER_SANITIZE_STRING);

// veritabanına bağlan
$servername = "localhost";
$dbname = "myDB";
$username = "username";
$password = "password";
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);

// veritabanına ekle
$stmt = $conn->prepare("INSERT INTO users (username, password) VALUES (:username, :password)");
$stmt->bindParam(':username', $username);
$stmt->bindParam(':password', $password);
$stmt->execute();

Bu örnekte, "filter_input()" fonksiyonu kullanılarak, "INPUT_POST" parametresi ile $_POST dizisinden gelen veriler filtreleniyor. Bu, gelen verilerin temizlenmesine ve güvenli hale getirilmesine yardımcı olur.

Daha sonra, "PDO" nesnesi kullanılarak veritabanına bağlanılıyor ve hazırlanmış ifadeler kullanılarak "INSERT INTO" sorgusu oluşturuluyor. Bu sorguda, "bindParam()" fonksiyonu kullanılarak, sorguya yerleştirilecek olan değişkenler belirleniyor. Bu sayede, SQL enjeksiyonuna karşı koruma sağlanmış oluyor.

Son olarak, "execute()" fonksiyonu kullanılarak sorgu çalıştırılıyor ve veriler veritabanına kaydediliyor.

Last updated 2 years ago

Was this helpful?

if (!preg_match('/^[a-zA-Z0-9_]+$/', $_POST['username'])) { echo "Kullanıcı adı yalnızca harfler, sayılar ve alt çizgi içerebilir."; } else { // Kullanıcı adı alanı doğru şekilde dolduruldu, işleme devam edilebilir. }

<?php if($_SERVER['REQUEST_METHOD'] == 'POST') { $username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING); $password = filter_input(INPUT_POST, 'password', FILTER_SANITIZE_STRING); // Veritabanı sorgusu için kullanılacak değişkenlerin hazırlanması $prepared_statement = $db->prepare("SELECT * FROM users WHERE username = :username AND password = :password"); $prepared_statement->bindParam(':username', $username); $prepared_statement->bindParam(':password', $password); $prepared_statement->execute(); // Giriş işlemi başarılıysa if($prepared_statement->rowCount() > 0) { // Kullanıcıyı yönlendir header('Location: dashboard.php'); exit; } else { $error_message = "Hatalı kullanıcı adı veya şifre"; } } ?>

// kullanıcı adı ve şifre değişkenlerini $_POST dizisinden al $username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING); $password = filter_input(INPUT_POST, 'password', FILTER_SANITIZE_STRING); // veritabanına bağlan $servername = "localhost"; $dbname = "myDB"; $username = "username"; $password = "password"; $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password); // veritabanına ekle $stmt = $conn->prepare("INSERT INTO users (username, password) VALUES (:username, :password)"); $stmt->bindParam(':username', $username); $stmt->bindParam(':password', $password); $stmt->execute();