Post güvenliği

Funal

Arkadaşlar post işlemi sırasında robotlara karşı nasıl bir önlem almak gerekir ?
Route 'da oluşturulan post urllere before auth eklenmeli mi ?

Neden MVC'nin içine girdikçe kendimi PHP bilmiyormuşum gibi hissediyorum.

serturk

Robotlardan CSRF ile korunabilirsin
csrf filtresini kullanman için formuna {{ Form::token() }} komutunu eklemelisin. Bunu yazdığında gizli bir input içine Laravel rastgele bir şeyler yazar.
Formun gönderileceği rotaya da csrf filtresi uygularsın, Laravel formdan gelen değeri kendi sessiona sakladığı ile karşılaştırır ve sonuç yanlışsa işlemi devam ettirmez.

Detaylı bilgi için ; https://github.com/laravel/docs/blob/master/html.md#csrf-protection

Route bölümü yazılırken içine eklenecek filtreler senin işlerini kısa yoldan güvenle yapmanı sağlar, örneğin ana sayfanı kontrol edelim.

Route::get('/','HomeController@getIndex');

burada filtreye gerek yok, çünkü bu sayfayı herkes görecek.

Üye yada farklı gruplara özel yapılacak sayfalarda sen her sayfaya ayrıca

if (!Auth::check()) return Redirect::to('bla bla bla');

yazacağına ya da oturumu açık mı, bu işlemi yapmaya yetkisi var mi gibi her talepte oturum ve yetki kontrolü yapacağına.

Rotada ya filtre eklersin, Laravel senin için bu karmaşaya son verir.

Route::get('/account/wall','AccountController@getWall')->before('auth')

yada

Route::get('/account/wall',array('before' => 'auth', 'uses' =>'AccountController@getWall')

şeklinde filtre uyguladığında,

Yazdığın u rota da if (Auth::check() kodlarını yazmana gerek kalmaz, o rotada her zaman auth kontrolü laravel tarafından yapılır.

Mesela yönetici kontrolünü ele alalım;

Route::group(array('prefix' => 'admin', 'before' => array('auth|admin')), function()
{
 Route::get('kullanicilar','AdminUsersController@getUsers');
 Route::get('yazilar','AdminUsersController@getArticles');
 Route::get('kategoriler','AdminUsersController@getCategory');
});

filters.php içinde filtremiz

Route::filter('admin', function($route, $request)
{
 if ( ! Auth::user()->role != 'admin' ) { //users tablonda role diye bir alanın olduğunu ve o alana da yetkiyi user, admin vs. vs. diye yazdığını varsaydım bu örnekte.
 return App::abort(401, 'Yetkiniz bulunamadı.');
 }
});

Bu örnekte ise sitende, admin/kullanicilar, admin/yazilar ya da admin/kategoriler rotaları çağrıldığında, Laravel auth|admin şeklinde yazdığın iki filtreyi kontorl eder.
Auth filtresinde oturum var mı bakar yoksa ilgili sayfaya yönlendirir, oturum varsa, admin filtresinden yetkini kontrol eder ve buradan çıkacak sonuca göre davranarak. Seni çok büyük yüklerden kurtarır.

Daha detaylı bilgi için : https://github.com/laravel/docs/blob/master/routing.md
Kolay gelsin. eksik ve yanlışlar için kusuruma bakmayın.

Funal

Detaylı anlatımın için teşekkürler. Kısaca csrf filtresi robotlar ve diğer önlemler için onu anladım
Fakat anlatmak istediğim tam olarak belirtemedim bunun için kusuruma bakma.
Şimdi bir yorum sisteminden anlatıyım durumu.
Kötü niyetli kullanıcı yada oturum süresi dolmuş kullanıcı fark etmez.
Bu kişi yorum form'unda yorumu yazmak için hazır fakat yeni sekme açıp siteden çıkış yapıyor ve açık olan yorum sayfasından yorum yapmaya çalışırsa durum ne olur.

serturk

Bu örnek verdiğim filtreler kişiyi login sayfasına yönlendirir, yorum ekleyemez. hem oturum bittiğinden CSRF filtresi kullanıcıyı engeller, hem de oturum olmadığından Auth filtresi kişiyi login sayfasına yönlendirir.

Zaten normal şartlarda senin yaptığın şeyin aynısı bu, yani ha sen yorumu veri tabanına yazmadan önce if ($_SESSION['oturum'] == true') kontrolü yapmışsın ha laravel beforeFilter('auth') yapmış fark yok.
Oturum yoksa işlem yok.
Laravel sadece senin her talepte tekrar tekrar yazacağın kodları 1 kere yaz her yerde kullan diyor.

Funal

@serturk içimi rahatlattın zaten bende hemen hemen senin dediklerini yaptım.

xsearch

@Funal php biliyor fakat yazılım bilmiyoruz. Fonksiyonlarla iş yaptık bu güne kadar sürekli, şimdi "yazılım" yönergelerine göre yazılan php projelerini gördükçe bir yabancılaşma durumu var :))))

biz ne güzel if else gidiyoduk. Kütüphaneler paketler felan noluyo ya diyoruz

Aslında buna şöyle demekte mümkün : php programlama dillerini bi 10 yıl geriden takip ediyor

Biz PHP'cilerde öyle maalesef :

Funal

@xsearch malesef vaziyet onu gösteriyor. Açıkcası MVC yapısı ile tanışmadan önce php den soğumuştum. Ne zaman ki webteders'te codeigniter ve MVC eğitim seti ile karşılaştım o zaman sıkı sıkıya tekrar sarıldım.