Güvenli giriş sistemi neden kritik?


Bir web uygulamasında giriş sistemi yalnızca kullanıcı adı ve şifre kontrolünden ibaret değildir. Giriş başarılı olduktan sonra oturumun nasıl saklandığı, kullanıcının hangi sayfalara erişebildiği, hassas işlemlerde tekrar kontrol yapılıp yapılmadığı ve logların tutulup tutulmadığı güvenliğin gerçek seviyesini belirler.



Parola doğrulama


Parolalar veritabanında düz metin tutulmamalıdır. PHP tarafında password_hash ve password_verify kullanmak güvenli bir başlangıçtır. Parola karma algoritmaları zaman içinde güncellenebildiği için gerektiğinde password_needs_rehash ile eski hashlerin yenilenmesi de düşünülebilir.



Session güvenliği


Başarılı girişten sonra session kimliği yenilenmelidir. Bu işlem session fixation riskini azaltır. Cookie ayarlarında httponly, mümkünse secure ve samesite kullanılmalıdır. Oturum süresi sınırsız bırakılmamalı, uzun süre işlem yapmayan kullanıcıların yeniden giriş yapması istenmelidir.



Rol bazlı erişim


Admin, superadmin ve normal kullanıcı ayrımı her kritik sayfada kontrol edilmelidir. Sadece menüden linki gizlemek yeterli değildir; kullanıcı URL’yi elle yazdığında da sunucu tarafı kontrol devreye girmelidir.



Güvenli akış kontrol listesi



  • Parolaları hash ile sakla.

  • Giriş sonrası session ID yenile.

  • Admin sayfalarında rol kontrolü yap.

  • Şifre değiştirme ve profil güncelleme işlemlerinde CSRF kullan.

  • Başarısız girişleri ve kritik admin işlemlerini logla.

  • Çıkış işleminde session verisini temizle.



Portfolyo açısından değeri


İyi tasarlanmış bir giriş sistemi, iş görüşmelerinde yalnızca “login yaptım” demekten çok daha güçlüdür. Oturum, rol, loglama ve güvenli form akışını göstermek, projeyi daha profesyonel gösterir.