Laravel Türkiye Discord Kanalı Forumda kod paylaşılırken dikkat edilmesi gerekenler!Birlikte proje geliştirmek ister misiniz?

Laravel DB güvenlik

caglar_kocak

Arkadaşlar merhaba , laravel kullanmadan önce php de veri tabanına kayıt yaparken aşağıdaki fonksiyonu kullanıyordum,

function Guvenlik($Deger){ $BoslukSil = trim($Deger); $TaglariTemizle = strip_tags($BoslukSil); $EtkisizYap = htmlspecialchars($TaglariTemizle,ENT_QUOTES); $Sonuc = $EtkisizYap; return $Sonuc; }

Yine bu veriyi alıp ekrana bastırırken ise yapılan dönüşümleri tekrar geri alabildiğim bir fonksiyon kullanıyordum.

Bunu laravel kendisi mi yapıyor ? Ya da hangi durumlarda yapıyor ? Eloquent yöntemi kullanıldığında mı oluyor ? Her iki durum (kaydetme ve ekrana bastırma) içinde yapmam gerekenler nelerdir ?

mgsmus

caglar_kocak Builder kullandığınızda, mesela where('id', $id) yaptığınızda SQL injection'a karşı önlemi almış oluyorsunuz ama whereRaw("id = $id") yaparsanız SQL injection yersiniz. Aynı şekilde DB::raw("where id = $id") de SQL injection yemenize sebep olur. Statement ya da select gibi primitif işlemlerde ise binding kullanmanız lazım. DB::select("select * from users where id = $id") yerine DB::select("select * from users where id = ?", [$id]) şeklinde. Örnekleri dokümanlarda mevcut.

Ekrana basarken ise Blade şablonunda {{ $id }} şeklinde ikili küme parantezi arasında basarsanız da sizi XSS saldırısına karşı korur.

Laravel, Request ile gelen parametrelere TrimStrings middleware'i ile trim uygular o yüzden onlara bir şey yapmanıza gerek yok. Ayrıca ConvertEmptyStringsToNull middleware'i ile de boş string değeleri otomatik olarak null'a çevirir. Bu konularda da bir şey yapmanıza gerek yok. Request ile gelmiyorsa trim vs uygulamak size kalıyor doğal olarak.

Laravel strip_tags kullanılıp kullanılmayacağına kendi karar veremeyeceği için bununla ilgili otomatik bir işlem yok. Bu da size kalan bir görev.

caglar_kocak

mgsmus Çok teşekkür ederim baya detaylı açıklamışsınız.