Güvenlik
1. Veritabanı Güvenliği (SQL Injection Koruması)
Sistemde düz metin SQL sorguları yerine PDO (PHP Data Objects) ve Prepared Statements kullanılmaktadır. Bu sayede kullanıcı girdileri sorgudan ayrıştırılarak SQL injection saldırıları tamamen engellenir.
2. XSS ve Veri Temizleme (Sanitization)
Kullanıcılardan gelen tüm veriler (yorumlar, profil bilgileri, proje açıklamaları) ekrana basılmadan önce htmlspecialchars() ve özel filtreleme fonksiyonlarından geçirilir. Bu, kötü niyetli JavaScript kodlarının (Cross-Site Scripting) çalışmasını önler.
3. Kimlik Doğrulama ve Oturum Güvenliği
- Şifreleme: Şifreler veritabanında asla düz metin olarak tutulmaz. PHP'nin
password_hash()fonksiyonu kullanılarak BCRYPT algoritmasıyla şifrelenir. - Session Yönetimi: Oturumlar güvenli
session_start()parametreleri ve oturum sabitleme (session fixation) koruması ile yönetilir.
4. Form ve Dosya Yükleme Güvenliği
- CSRF Koruması: Kritik form işlemleri, isteklerin gerçekten kullanıcıdan gelip gelmediğini kontrol eden benzersiz tokenlar ile korunur.
- Dosya Kontrolü:
/public/uploads/dizinine yüklenen dosyalar; uzantı kontrolü (MIME type), boyut sınırı ve dosya adı temizleme işlemlerinden geçer.
📧 E-posta Konfigürasyonu
Şifre sıfırlama ve sistem bildirimleri için kullanılan PHPMailer yapısı, güvenli SMTP protokollerini (TLS/SSL) destekler.
- Güvenlik Protokolü: TLS (SMTPS)
- Port: 465 veya 587
- Giden Mail:
[email protected]
Hata Yönetimi ve Loglama
Üretim (Production) ortamında güvenliği artırmak için:
display_errorsdeğeriOffkonumuna getirildi; böylece son kullanıcıya teknik hata detayları veya dosya yolları gösterilmez.- Tüm kritik hatalar sunucu tarafındaki hata loglarına kaydedilir.
/includes/functions.phpiçerisindeki merkezi hata yakalama mekanizması, beklenmedik durumlarda kullanıcıyı güvenli bir "Hata" sayfasına yönlendirir.
Destek ve İletişim
Platformla ilgili güvenlik açığı bildirimi, teknik sorunlar veya genel sorularınız için aşağıdaki kanalları kullanabilirsiniz:
| Kanal | Adres / Bağlantı |
|---|---|
| E-posta | [email protected] |
| Hata Bildirimi (Bug) | GitHub Issues |
| Topluluk Forumu | forum.artado.xyz |
| Resmi Web Sitesi | devs.artado.xyz |
Lisans
Bu yazılım MIT Lisansı ile korunmaktadır. Projeyi fork'layabilir ve bu güvenlik standartlarını korumak kaydıyla geliştirebilirsiniz.
Güvenlik Notu: Eğer bir güvenlik açığı keşfederseniz, lütfen bunu herkese açık bir issue açmak yerine doğrudan e-posta yoluyla bize bildirin.