PHP Login ve Registration
Oturum açma ve kayıt sistemi, web uygulamalarında en yaygın özelliklerden biridir. Çoğu web sitesi kullanıcıların hesap oluşturmasına, oturum açmasına, korumalı sayfalara erişmesine, profilleri güncellemesine ve güvenli bir şekilde oturumdan çıkmasına ihtiyaç duyar.
PHP’de bir kimlik doğrulama sistemi genellikle formları, doğrulamayı, MySQL, prepared statements, parola karma, parola doğrulamayı, oturumları ve yetkilendirme kontrollerini kullanır. Bu kavramlar, kullanıcıları tanımlamak ve neye erişebileceklerini kontrol etmek için birlikte çalışır.
Bu makalede PHP oturum açma ve kayıt sisteminin, kayıt, parola karma, oturum açma, oturumlar, oturum kapatma, beni hatırla kavramı, kullanıcı rolleri, doğrulama ve en iyi güvenlik uygulamaları dahil olmak üzere nasıl çalıştığı açıklanmaktadır.
PHP Giriş ve Kayıt Sistemi Nedir?
PHP oturum açma ve kayıt sistemi, kullanıcıların hesap oluşturmasına ve bir web sitesinin özel bölümlerine erişmesine olanak tanır. Kayıt, yeni bir kullanıcı hesabı oluşturma işlemidir. Oturum açma, kullanıcının kimliğini doğrulama ve kimliği doğrulanmış bir oturum başlatma işlemidir.
Temel bir kimlik doğrulama sistemi genellikle şunları içerir:
Bir kayıt formu.
Sunucu tarafı doğrulaması.
Bir kullanıcı veritabanı tablosu.
Şifre karma.
Bir giriş formu.
Şifre doğrulama.
Oturum açmış kullanıcıların hatırlanacağı oturumlar.
Korumalı sayfalar
Oturum kapatma işlevi.
Gerektiğinde kullanıcı rolleri ve izinleri.
Kimlik doğrulama, kullanıcı hesaplarını ve özel uygulama alanlarını koruduğu için her zaman dikkatli bir şekilde tasarlanmalıdır.
Kullanıcılar için Veritabanı Tablosu
Kayıt ve oturum açma mantığını oluşturmadan önce kullanıcılar için bir veritabanı tablosuna ihtiyacınız vardır. Basit bir kullanıcılar tablosu bir kimlik, ad, e-posta, şifre, rol ve oluşturulma tarihi içerebilir.
CREATE TABLE users (
id INT AUTO_INCREMENT PRIMARY KEY,
name VARCHAR(100) NOT NULL,
email VARCHAR(150) NOT NULL UNIQUE,
password VARCHAR(255) NOT NULL,
role VARCHAR(50) NOT NULL DEFAULT 'user',
created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);kimliksütunu her kullanıcıyı benzersiz şekilde tanımlar.e-postasütunu benzersiz olarak işaretlendi, böylece iki kullanıcı aynı e-posta adresiyle kaydolamaz.
şifresütunu, düz parolayı değil, parola karmasını saklamalıdır.rolsütunu daha sonra kullanıcı, editör veya yönetici gibi yetkilendirme için kullanılabilir.
Gerçek projelerde veritabanı, e-posta doğrulama durumu, hatırlama belirteci, şifre sıfırlama belirteci, son oturum açma tarihi, profil resmi veya hesap durumu gibi alanları da içerebilir.
PDO ile Veritabanı Bağlantısı
PHP, PDO kullanılarak MySQL'ya bağlanabilir. PDO iyi bir seçim çünkü prepared statements'yu destekliyor ve temiz ve güvenli bir şekilde kullanılabiliyor.
<?php
$host = "localhost";
$dbname = "php_auth";
$username = "root";
$password = "";
try {
$pdo = new PDO(
"mysql:host=$host;dbname=$dbname;charset=utf8mb4",
$username,
$password
);
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
} catch (PDOException $exception) {
die("Database connection failed.");
}
?>Üretimde, veritabanı kimlik bilgileri her dosyaya sabit kodlanmamalıdır. Bir yapılandırma dosyasında veya ortam değişkenlerinde saklanmaları gerekir.
Bağlantının kullanılması gerekirutf8mb4Arapça, Türkçe, İngilizce ve emojiler de dahil olmak üzere çok dilli içeriği doğru şekilde desteklemek için.
PHP Kayıt Sistemi
Kayıt sistemi kullanıcının adını, e-postasını ve şifresini alır, bunları doğrular, e-postanın zaten mevcut olup olmadığını kontrol eder, şifreyi karma hale getirir ve yeni kullanıcıyı veritabanına ekler.
Basit bir kayıt formu şöyle görünebilir:
<form method="post" action="register.php">
<label>Name</label>
<input type="text" name="name">
<label>Email</label>
<input type="email" name="email">
<label>Password</label>
<input type="password" name="password">
<label>Confirm Password</label>
<input type="password" name="password_confirmation">
<button type="submit">Register</button>
</form>PHP kayıt mantığı hiçbir zaman gönderilen verilere doğrudan güvenmemelidir. Kullanıcıyı kaydetmeden önce tüm alanları doğrulamalıdır.
<?php
require "db.php";
$errors = [];
if ($_SERVER["REQUEST_METHOD"] === "POST") {
$name = trim($_POST["name"] ?? "");
$email = trim($_POST["email"] ?? "");
$password = $_POST["password"] ?? "";
$passwordConfirmation = $_POST["password_confirmation"] ?? "";
if ($name === "") {
$errors["name"] = "Name is required.";
}
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
$errors["email"] = "A valid email address is required.";
}
if (strlen($password) < 8) {
$errors["password"] = "Password must be at least 8 characters.";
}
if ($password !== $passwordConfirmation) {
$errors["password_confirmation"] = "Password confirmation does not match.";
}
if (count($errors) === 0) {
$statement = $pdo->prepare("SELECT id FROM users WHERE email = :email LIMIT 1");
$statement->execute(["email" => $email]);
if ($statement->fetch()) {
$errors["email"] = "This email is already registered.";
}
}
if (count($errors) === 0) {
$passwordHash = password_hash($password, PASSWORD_DEFAULT);
$statement = $pdo->prepare("
INSERT INTO users (name, email, password)
VALUES (:name, :email, :password)
");
$statement->execute([
"name" => $name,
"email" => $email,
"password" => $passwordHash
]);
echo "Registration completed successfully.";
}
}
?>Bu örnek, gerekli alanları doğrular, e-posta biçimini kontrol eder, şifre uzunluğunu kontrol eder, şifreyi onaylar, mükerrer e-postaları önler, şifreye karma işlemi uygular ve yeni kullanıcıyı kaydeder.
PHP Şifre Karması
Şifreler asla düz metin olarak saklanmamalıdır. Bir veritabanı sızdırılırsa ve parolalar düz metinse tüm kullanıcı hesapları açığa çıkar.
PHP şunları sağlar:password_hash()Güvenli şifre karma işlevi.
<?php
$password = "secret-password";
$hash = password_hash($password, PASSWORD_DEFAULT);
echo $hash;
?>Sonuç, veritabanında saklanabilecek güvenli bir karmadır. Orijinal şifre karmadan kurtarılamaz.
PASSWORD_DEFAULTalgoritma önerilir çünkü PHP daha iyi seçenekler mevcut olduğunda gelecek sürümlerde varsayılan algoritmayı güncelleyebilir.
gibi zayıf karma yöntemlerini kullanmayın.md5()veyasha1()şifreler için. Bu yöntemler güvenli şifre saklamaya uygun değildir.
PHP Şifre Doğrulaması
Bir kullanıcı oturum açtığında uygulama, gönderilen parolayı aşağıdakileri kullanarak saklanan karma değeriyle karşılaştırmalıdır:password_verify().
<?php
$submittedPassword = $_POST["password"] ?? "";
$storedHash = $user["password"];
if (password_verify($submittedPassword, $storedHash)) {
echo "Password is correct.";
} else {
echo "Invalid password.";
}
?>Gönderilen şifreye manuel olarak hash oluşturmamalı ve dizeleri karşılaştırmamalısınız. Her zaman kullanpassword_verify()çünkü hash'in doğru şekilde nasıl kontrol edileceğini biliyor.
Şifre doğrulama, gönderilen oturum açma şifresinin saklanan şifre karmasıyla eşleşip eşleşmediğine karar veren ana adımdır.
PHP Giriş Sistemi
Oturum açma sistemi kullanıcının e-postasını ve parolasını alır, girişi doğrular, kullanıcıyı e-postayla bulur, parolayı doğrular, oturum kimliğini yeniden oluşturur ve kullanıcı kimliğini oturumda saklar.
Basit bir giriş formu şöyle görünebilir:
<form method="post" action="login.php">
<label>Email</label>
<input type="email" name="email">
<label>Password</label>
<input type="password" name="password">
<button type="submit">Login</button>
</form>PHP oturum açma mantığı şu şekilde yazılabilir:
<?php
session_start();
require "db.php";
$errors = [];
if ($_SERVER["REQUEST_METHOD"] === "POST") {
$email = trim($_POST["email"] ?? "");
$password = $_POST["password"] ?? "";
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
$errors["email"] = "A valid email address is required.";
}
if ($password === "") {
$errors["password"] = "Password is required.";
}
if (count($errors) === 0) {
$statement = $pdo->prepare("SELECT id, name, email, password, role FROM users WHERE email = :email LIMIT 1");
$statement->execute([
"email" => $email
]);
$user = $statement->fetch(PDO::FETCH_ASSOC);
if (!$user || !password_verify($password, $user["password"])) {
$errors["login"] = "Invalid email or password.";
} else {
session_regenerate_id(true);
$_SESSION["user_id"] = $user["id"];
$_SESSION["user_name"] = $user["name"];
$_SESSION["user_role"] = $user["role"];
header("Location: dashboard.php");
exit;
}
}
}
?>Bu örnekte kullanıcıyı bulmak, şifreyi güvenli bir şekilde doğrulamak ve başarılı bir şekilde oturum açtıktan sonra bir oturum başlatmak için hazırlanmış bir ifade kullanılır.
Hata mesajı tam olarak hangisinin yanlış olduğunu söylemek yerine geçersiz e-posta veya şifre diyor. Bu daha güvenlidir çünkü sistemde bir e-postanın var olup olmadığını ortaya çıkarmaz.
Oturumlarla PHP Kimlik Doğrulaması
Oturumlar, PHP’nin bir kullanıcının birden fazla sayfada oturum açtığını hatırlamasına olanak tanır. Oturum açtıktan sonra kullanıcı kimliği saklanır.$_SESSION.
Korumalı bir sayfa, özel içeriği göstermeden önce kullanıcının oturum açıp açmadığını kontrol etmelidir.
<?php
session_start();
if (empty($_SESSION["user_id"])) {
header("Location: login.php");
exit;
}
echo "Welcome to your dashboard.";
?>Bu kontrol, kontrol panelleri, profil sayfaları, yönetici sayfaları ve ayarlar sayfaları gibi kimlik doğrulama gerektiren her sayfaya eklenmelidir.
adında yeniden kullanılabilir bir dosya oluşturabilirsiniz.auth. php:
<?php
session_start();
if (empty($_SESSION["user_id"])) {
header("Location: login.php");
exit;
}
?>Daha sonra bunu korumalı sayfaların en üstüne ekleyin:
<?php
require "auth.php";
?>
<h1>Dashboard</h1>Bu, kimlik doğrulama kontrolünü düzenli tutar ve aynı kodun birçok dosyada tekrarlanmasını önler.
PHP Oturumu Kapat
Oturumu kapatma, kullanıcının kimliği doğrulanmış oturumunun sonlandırılması anlamına gelir. Uygulamanın oturum verilerini kaldırması, oturumu yok etmesi ve kullanıcıyı giriş sayfasına veya ana sayfaya yönlendirmesi gerekir.
<?php
session_start();
$_SESSION = [];
if (ini_get("session.use_cookies")) {
$params = session_get_cookie_params();
setcookie(
session_name(),
"",
time() - 42000,
$params["path"],
$params["domain"],
$params["secure"],
$params["httponly"]
);
}
session_destroy();
header("Location: login.php");
exit;
?>Bu örnek, oturum dizisini temizler, oturum çerezini kaldırır, oturumu yok eder ve kullanıcıyı yeniden yönlendirir.
Basit bir sürüm yalnızca kullanabilirsession_destroy(), ancak oturum çerezini temizlemek, oturumu tamamen kapatmak için daha temiz bir yaklaşımdır.
PHP Beni Hatırla
Beni hatırla özelliği, tarayıcı kapatıldıktan sonra bile kullanıcının oturum açmasını sağlar. Bu genellikle bir çerezde saklanan ve veritabanında saklanan bir jetonla eşleştirilen güvenli, kalıcı bir jeton kullanılarak yapılır.
Beni hatırla sistemi şifreyi bir çerezde saklamamalıdır. Hassas kullanıcı bilgilerini doğrudan tarayıcıda saklamamalıdır.
Daha güvenli bir genel iş akışı şudur:
Kullanıcı başarıyla oturum açar ve beni hatırla seçeneğini seçer.
Sunucu rastgele bir jeton oluşturur.
Belirteç karma haline getirilir ve veritabanında saklanır.
Ham jeton güvenli bir çerezde saklanır.
Gelecekteki ziyaretlerde çerez belirteci veritabanına göre kontrol edilir.
Geçerliyse kullanıcı oturum açar ve yeni bir oturum oluşturulur.
Temel bir hatırlama belirteci kullanılarak oluşturulabilirrastgele_baytlar().
<?php
$token = bin2hex(random_bytes(32));
$tokenHash = hash("sha256", $token);
?>Çerez mümkün olduğunda güvenli seçenekleri kullanmalıdır.
<?php
setcookie("remember_token", $token, [
"expires" => time() + 60 * 60 * 24 * 30,
"path" => "/",
"secure" => true,
"httponly" => true,
"samesite" => "Lax"
]);
?>Beni Hatırla temel seanslara göre daha ileri düzeydedir ve dikkatli bir şekilde uygulanması gerekir. Yeni başlayan projeler için, beni hatırla'yı eklemeden önce normal oturum tabanlı oturum açma işlemi oluşturmak daha iyidir.
PHP Kullanıcı Rolleri
Kullanıcı rolleri, uygulamanın her kullanıcının neye erişebileceğini kontrol etmesine olanak tanır. Ortak roller arasında kullanıcı, editör, moderatör ve yönetici bulunur.
Örneğin normal bir kullanıcı yalnızca kendi profiline erişebilirken, bir yönetici yönetici kontrol paneline erişebilir ve diğer kullanıcıları yönetebilir.
Oturum açtıktan sonra kullanıcının rolü oturumda saklanabilir:
<?php
$_SESSION["user_role"] = $user["role"];
?>Daha sonra korumalı sayfalar rolü kontrol edebilir.
<?php
session_start();
if (($_SESSION["user_role"] ?? "") !== "admin") {
http_response_code(403);
echo "Access denied.";
exit;
}
echo "Welcome to the admin area.";
?>Rol kontrolleri her zaman sunucu tarafında yapılmalıdır. HTML'da yönetici düğmelerini gizlemek yeterli değildir çünkü kullanıcılar istekleri manuel olarak göndermeye devam edebilir.
Daha karmaşık sistemler için izinler, veritabanı tablolarında ayrı ayrı saklanabilir, ancak başlangıç seviyesindeki projeler için, kavramı anlamak için basit bir rol sütunu yeterlidir.
Giriş ve Kayıt için Doğrulama
Kimlik doğrulama sistemlerinde doğrulama esastır. Güvenliği artırır, geçersiz verileri önler ve kullanıcılara net geri bildirim sağlar.
Kayıt doğrulama şunları içerebilir:
Ad gerekli.
E-posta gereklidir ve geçerli olmalıdır.
E-posta benzersiz olmalıdır.
Şifre gerekli.
Şifrenin minimum uzunlukta olması gerekir.
Şifre onayı eşleşmelidir.
Giriş doğrulama şunları içerebilir:
E-posta gereklidir ve geçerli olmalıdır.
Şifre gerekli.
Oturum açma kimlik bilgileri mevcut bir kullanıcıyla eşleşmelidir.
HTML form doğrulaması da kullanılsa bile doğrulamanın sunucu tarafında gerçekleşmesi gerekir. Tarayıcı doğrulaması kullanıcı deneyimini iyileştirir ancak bu atlanabilir.
Kimlik Doğrulama Formları için CSRF Koruması
Kimlik doğrulama formları, özellikle kayıt, oturum açma, oturum kapatma, profil güncelleme ve şifre değiştirme formları olmak üzere CSRF belirteçleriyle de korunmalıdır.
CSRF belirteci, oturumda depolanan ve formun içine dahil edilen rastgele bir değerdir. Form gönderildiğinde PHP, gönderilen belirtecin oturum belirteciyle eşleşip eşleşmediğini kontrol eder.
<?php
session_start();
if (empty($_SESSION["csrf_token"])) {
$_SESSION["csrf_token"] = bin2hex(random_bytes(32));
}
?>
<form method="post">
<input type="hidden" name="csrf_token" value="<?php echo htmlspecialchars($_SESSION["csrf_token"], ENT_QUOTES, "UTF-8"); ?>">
<input type="email" name="email">
<input type="password" name="password">
<button type="submit">Login</button>
</form>Formu işlerken:
<?php
$token = $_POST["csrf_token"] ?? "";
if (!hash_equals($_SESSION["csrf_token"] ?? "", $token)) {
http_response_code(403);
echo "Invalid request.";
exit;
}
?>CSRF koruması, diğer web sitelerinden istenmeyen form gönderimlerinin önlenmesine yardımcı olur.
Kontrol Paneli Sayfalarını Koruma
Oturum açtıktan sonra kullanıcılar genellikle kontrol paneli, profil, ayarlar veya yönetici sayfaları gibi korumalı sayfalara erişir. Bu sayfaların içeriği göstermeden önce oturumu kontrol etmesi gerekir.
Temel bir kontrol paneli sayfası şöyle görünebilir:
<?php
require "auth.php";
?>
<h1>Dashboard</h1>
<p>Welcome, <?php echo htmlspecialchars($_SESSION["user_name"], ENT_QUOTES, "UTF-8"); ?></p>
<a href="logout.php">Logout</a>Kullanıcı adının kullanılarak kaçıldığına dikkat edinhtmlspecialchars(). Oturum verileri bile, orijinal olarak kullanıcı girişinden gelebileceği için güvenli bir şekilde görüntülenmelidir.
Korumalı sayfalar, eylemin hassas olması durumunda izinleri de kontrol etmelidir. Örneğin, yönetici sayfaları rolü kontrol etmeli ve düzenleme sayfaları, kullanıcının kaynağa sahip olup olmadığını kontrol etmelidir.
Yaygın Giriş Sistemi Hataları
Başlangıç düzeyindeki birçok kimlik doğrulama sistemi çalışır ancak ciddi güvenlik hataları içerirler. Bu hatalardan kaçınmak önemlidir.
Yaygın hatalar şunları içerir:
Şifreleri düz metin olarak saklamak.
Parolalar için MD5 veya SHA1 kullanma.
prepared statements kullanılmıyor.
E-postanın veya şifrenin özellikle yanlış olup olmadığı gösteriliyor.
Oturum açtıktan sonra oturum kimliği yeniden oluşturulamıyor.
Özel sayfaları oturum kontrolleriyle korumamak.
Formlardan veya URL'lerden rol değerlerine güvenme.
Kullanıcı adlarını görüntülerken kaçmamak.
Hassas verilerin çerezlerde saklanması.
Oturumu kapatmayı veya oturum temizlemeyi unutmak.
Güvenli bir giriş sistemi yalnızca e-posta ve şifreyi kontrol etmekten ibaret değildir. Ayrıca güvenli veritabanı erişimi, parola saklama, oturum yönetimi, doğrulama, kaçış ve yetkilendirmeyi de içerir.
Oturum Açma ve Kayıt İş Akışını Tamamlayın
Tam bir PHP kimlik doğrulama iş akışı genellikle şu yapıyı izler:
MySQL'da bir kullanıcılar tablosu oluşturun.
PDO kullanarak bir veritabanı bağlantısı oluşturun.
Bir kayıt formu oluşturun.
Kayıt girişini doğrulayın.
E-postanın zaten mevcut olup olmadığını kontrol edin.
Şifreyi kullanarak karma yapınpassword_hash().
Hazırlanmış bir ifadeyi kullanarak yeni kullanıcıyı ekleyin.
Bir giriş formu oluşturun.
Hazırlanmış bir ifadeyi kullanarak kullanıcıyı e-postayla bulun.
Şifreyi kullanarak doğrulayınpassword_verify().
Başarılı oturum açtıktan sonra oturum kimliğini yeniden oluşturun.
Kullanıcı kimliğini ve rolünü oturumda saklayın.
Oturum kontrollerini kullanarak kontrol paneli sayfalarını koruyun.
Yönetici sayfalarının rollerini kontrol edin.
Çıkış sırasında oturumu yok edin.
Bu iş akışı birçok PHP uygulamasının temelini oluşturur. Bunu anladıktan sonra e-posta doğrulama, şifre sıfırlama, profil güncellemeleri, iki faktörlü kimlik doğrulama ve izin sistemleriyle genişletebilirsiniz.
PHP Kimlik Doğrulamasına İlişkin Güvenlik Notları
Kimlik doğrulama sistemleri, kullanıcı hesaplarını ve özel bilgileri koruduğu için güvenli olmalıdır.
Önemli güvenlik uygulamaları şunları içerir:
Kullanımpassword_hash()şifreleri saklamak için.
Kullanımpassword_verify()şifreleri kontrol etmek için.
Tüm veritabanı sorguları için prepared statements kullanın.
Sunucu tarafındaki tüm form girişlerini doğrulayın.
Kullanıcı verilerini görüntülerken çıktıdan çıkın.
Oturum açtıktan sonra oturum kimliğini yeniden oluşturun.
Oturum kapatıldığında oturumları yok edin.
Üretimde HTTPS kullanın.
Formları CSRF belirteçleriyle koruyun.
Genel giriş hatası mesajlarını kullanın.
Mümkün olduğunda tekrarlanan başarısız oturum açma girişimlerini sınırlayın.
Sunucu tarafındaki kullanıcı rollerini kontrol edin.
Üretim uygulamaları için kimlik doğrulamanın dikkatli bir şekilde test edilmesi gerekir. Giriş sistemlerinde yapılan küçük hatalar ciddi güvenlik sorunlarına yol açabilir.
Modern PHP Çerçevelerinde Kimlik Doğrulama
Laravel ve Symfony gibi modern PHP çerçeveleri yerleşik kimlik doğrulama araçları veya paketleri sağlar. Örneğin Laravel, kayıt, oturum açma, parola karma, oturumlar, CSRF koruması, e-posta doğrulama, parola sıfırlama ve yetkilendirme için özellikler sağlar.
Ancak saf PHP’de oturum açma ve kaydın nasıl çalıştığını öğrenmek yine de faydalıdır. Çerçeve kimlik doğrulamasının ardındaki kavramları anlamanıza yardımcı olur ve gerçek uygulamalarda hata ayıklamayı, özelleştirmeyi ve güvenliği sağlamayı kolaylaştırır.
Saf PHP kimlik doğrulamasını anladığınızda, Laravel kimlik doğrulamasına geçiş daha kolay hale gelir çünkü aynı fikirler hâlâ mevcuttur: kullanıcı tablosu, parola karmaları, oturumlar, korumalar, ara yazılım, doğrulama ve yetkilendirme.
Sonuç
PHP oturum açma ve kayıt sistemi, arka uç geliştirmeyi öğrenmek için önemli bir projedir. Formları, doğrulamayı, MySQL, prepared statements, parola karma, parola doğrulamayı, oturumları, oturumu kapatmayı, kullanıcı rollerini ve güvenlik uygulamalarını birleştirir.
En önemli kurallar hiçbir zaman düz şifreleri saklamamak, her zaman prepared statements kullanmak, kullanıcı girişini doğrulamak, çıkıştan kaçmak, giriş yaptıktan sonra oturum kimliklerini yeniden oluşturmak ve sunucu tarafındaki özel sayfaları korumaktır.
Temel bir giriş ve kayıt sistemi oluşturduktan sonraki adım, e-posta doğrulama, şifre sıfırlama, beni hatırla, profil düzenleme, rol tabanlı erişim kontrolü ve yönetici kullanıcı yönetimi gibi özellikleri eklemektir.
