Güvenlik Kütüphanesi


    × Bunları biliyor muydunuz?
"Dinamik bir kütüphaneyi tanımlarken sınıf isminin başına Internal ön eki getirirerek statik erişimli hale getirebilirsiniz. "


Güvenlik açıklarına yönelik oluşturulmuş kütüphanedir. 2 adet kütüphaneden oluşmaktadır; Security ve Secure. Özellikle çapraz script, enjeksiyon gibi risk teşkil edecek kullanımları izole etmek için oluşturulmuştur. Hiç bir güvenlik sistemi gibi bizde %100 güvenlik garantisi sağlayamayız. Ancak genel olarak yüksek düzeyde güvenlik sağlanmıştır.

 

 

# Kurulum


ZN dağıtımları için kurulum gerekmez.

↓ composer require znframework/package-security

 

 

# Yöntemler


Security::timeOnStay(string $name = 'timeOnStay') : void
Security::validTimeOnStay(int $second = 5, string $name = 'timeOnStay') : bool
Security::CSRFToken(string $redirect = NULL, string $type = 'post') : void
Security::CSRFTokenKey(string $name = 'token') : string
Security::validCSRFTokenKey(string $name = 'token', string $type = 'post') : bool
Security::ncEncode(string $str, mixed $badWords, mixed $changeChar) : string
Security::xssEncode(string $str) : string
Security::injectionEncode(string $str) : string
Security::injectionDecode(string $str) : string
Security::htmlEncode(string $str, string $type = 'quotes', string $encoding = 'utf-8') : string
Security::htmlDecode(string $str, string $type = 'quotes') : string
Security::htmlTagClean(string $str, mixed $allowable = '') : string
Security::phpTagEncode(string $str) : string
Security::phpTagDecode(string $str) : string
Security::phpTagClean(string $str) : string
Security::scriptTagEncode(string $str) : string
Security::scriptTagDecode(string $str) : string
Security::nailEncode(string $str) : string
Security::nailDecode(string $str) : string
Security::foreignCharEncode(string $str) : string
Security::foreignCharDecode(string $str) : string
Security::escapestringEncode(string $str) : string
Security::escapestringDecode(string $str) : string
Secure::data(string $str) : this

 

 

# TimeOnStay [6.2.0][2021-02-27]


Bir sayfa içinde sayfada kalış süresini başlatmak için kullanılır. Özellikle form işlemlerinde botları engellemek için kullanılabilir.

Parametreler

string $name = 'timeOnStay' Sayfa süresini tutacak oturum anahtarının ismi.

Kullanımı

Security::timeOnStay();

 

 

# ValidTimeOnStay [6.2.0][2021-02-27]


Sayfada kalış süresini kontrol etmek için kullanılır. Bu yöntem istek yapanın bot mu yoksa gerçek kullanıcı mı olup olmadığının ayırt edilmesinde kullanışlıdır.

Parametreler

int $second = 5 Minimum kalınması gereken süre.
string $name = 'timeOnStay' Kalış süresini tutan oturum anahtarının ismi.
return bool

Kullanımı

Security::validTimeOnStay(10) or redirect();

Yukarıdaki örnekte Security::timeOnStay() yönteminin kullanıldığı sayfada kalma süresi 10 saniyenin altında yukarıdaki kodun bulunduğu sayfaya  istek yapılması durumunda yönlendirme yapar.

Uygulama 1

Form üzerinde örnek kullanım.

Dosya: Views/Contact/main.wizard.php
@Form::open('contactForm')
{[ Security::timeOnStay() ]}
.
.
.
@Form::close()
Dosya: Controllers/Contact.php
public function main()
{
    if( Post::all() )
    {
        if( ! Security::validTimeOnStay(6) ) # 6 saniyeden erken istek yapılmış ise yönlendir.
        {
            redirect('invalid/request');
        }
        
        # your codes
    }
}

 

 

# CSRFToken (ZN >= 4.3.2)


Yapılan isteğin geçerli olup olmadığını kontrol eder. Herhangi bir başarısızlık durumunda yönlendirme yapılır.

Parametreler

string $redirect = NULL Geçersiz istek sonrası hangi sayfaya yönlendirme yapılacağı.
string $type = 'post' Post verilerini kontrol eder. Kullanılabilir Seçenekler: post, get

Kullanımı

Security::CSRFToken(); 

[$redirect = URI] 

Yönlendirme adresini belirler.

Security::CSRFToken('home/invalid', 'get'); 

[$type = 'get']

Bu parametrenin get ayarlanması durumunda get isteklerini kontrol eder.

Security::CSRFToken(NULL, 'get'); 
CSRFPost (ZN >= 4.3.2)

Security::CSRFToken() yönteminin opsiyonel kullanımıdır.

Security::CSRFPost('home/invalid'); 
CSRFGet (ZN >= 4.3.2)

Security::CSRFToken() yönteminin opsiyonel kullanımıdır. GET datalarını kontrol eder.

Security::CSRFGet('home/invalid');

 

 

# CSRFTokenKey [6.1.1][2021-01-29]


Rastgele CSRF token anahtarı üretir. Özellikle çoklu form kullanımı gerektiğinde kendi tokeninizi oluşturmak için kullanabilirsiniz.

Parametreler

string $name = 'token' Oluşturulacak tokeni tutacak isim bilgisi. Farklı tokenler oluşturacaksınız bu parametreyi kullanın.
return string

Kullanımı

echo Security::CSRFTokenKey('xtoken');
d9902834cd95305a55a1cfbd8ebe2a46956c8e30a7cde33506469c3387ae4b32

 

 

# ValidCSRFTokenKey [6.2.2][2021-01-30]


İsteğe bağlı oluşturulan tokeni kontrol etmek için kullanılır.

Parametreler

string $name = 'token' Kontrol edilecek token adı.
string $type = 'post' Post verilerini kontrol eder. Kullanılabilir Seçenekler: post, get
return bool

Kullanımı

Security::validCSRFTokenKey('xtoken');
Gerçerli Token Kontrolü

Oluşturulan token adı ne ise post veya get gönderiminde de aynı isim kullanılmalıdır.

$token = Security::CSRFTokenKey('xtoken');

Post::xtoken($token);

if( Security::validCSRFTokenKey('xtoken') )
{
    # your codes.
}

 

 

# NcEncode (ZN >= 1.0.0)


Kötü içerikli olduğunu düşündüğünüz ifadeleri değiştirmek için kullanılır.

Parametreler

string $data Veri.
string $badChars Kötü içerikli karakter veya karakter grupları.
strnig $badChars Kötü içerikli karakterlerin yerini alacak olan değer.
return string

Kullanımlar

echo Security::ncEncode('Hello or Goodbye', 'or', '[xxx]');
Hello [xxx] Goodbye

2. ve 3. parametre dizi türü veride içerebilir. Böylece birden fazla karakter grubunu aynı anda izole edebilirsiniz.

echo Security::ncEncode('Hello or Goodbye', ['Hello', 'Goodbye'], ['[xxx]', '[yyy]']);
[xxx] or [yyy]

 

 

# XssEncode (ZN >= 1.0.0)


Genel olarak script kodlardan kaynaklı çapraz enjeksiyonları engellemek için geliştirilmiştir.

Parametreler

string $data Veri.
return string

Kullanımlar

echo Security::xssEncode('<script>alert(1);script>');
&#60;script&#62;alert(1);&#60;/script&#62;

 

 

# InjectionEncode / InjectionDecode (ZN >= 1.0.0)


SQL enjesiyonlarına karşı oluşturulmuş yöntemdir. Enjeksiyonlar genellikle backslash sembolü ile yapılır.

Parametreler

string $data Veri.
return string

Kullanımlar

$data = Security::injectionEncode('ZN" Framework');
echo $data;
ZN[blackslash]" Framework

Bu dönüşümü eski haline getirmek için;

echo Security::injectionDecode($data);
ZN" Framework

gibi kullanılır.

 

 

# HtmlEncode / HtmlDecode (ZN >= 1.0.0)


Sadece <, >, ', " karakterleri üzerinde dönüştürme işlemi uygular.

Parametreler

string $data Veri.
mixed $type = 'quotes' Çevrim türü.
Seçenekler quotes, nonquotes, compat
mixed $encoding = 'utf-8' Kodlama türü.
return string

Kullanımlar

$data = Security::htmlEncode('<b>ZN4</b>');
echo $data;
&lt;b&gt;ZN4&lt;/b&gt;

Bu dönüşümü eski haline getirmek için;

echo Security::htmlDecode($data);
<b>ZN4</b>

gibi kullanılır.

& Dönüşümü Kaldırıldı [6.7.4][2021-04-07]

Bu güncellemeden önce sembolü de dönüştürülmekteydi. Özellikle veri kaydetme sürecinde bu dönüşümün oluşturduğu karakter sorunları nedeni bu dönüşüm artık yapılmamaktadır. Ayrıca bu güncelleme ile zaten dönüştürülmüş karakterler üzerinde tekrar dönüşüm uygulanmayacak şekilde düzenlemeye gidildi.

 

 

# HtmlTagClean (ZN >= 1.0.0)


HTML etiketlerini siler.

Parametreler

string $str Veri.
mixed $allowable = '' İstisna etiketler.
return string

Kullanımlar

$data = Security::htmlTagClean('<b>ZN Framework</b>');
echo $data;
ZN Framework
6.49.4 Güncellemesi

Bu güncellemede 2. parametre ile silinmemesi istenen etiketler belirtilebilir. Ayrıca silme işleminin sağlıklı gerçekleştirilebilmesi için veri içinde varsa encode edilmiş HTML etiketleri öncelikle decode edilir ve sonra silme işlemi gerçekleştirilir. Bu nedenle bu işlemden önce Security::htmlDecode() kullanımına ihtiyaç duyulmaz.

$data = Security::htmlTagClean('<b><i>ZN Framework</i></b>', '<i>');
echo $data;
ZN Framework

PHP 7.4 sürümü itibari ile 2. parametre dizi olarak kullanılabilir.

$data = Security::htmlTagClean('<b><i><u>ZN Framework</u></i></b>', ['<i>', '<u>']);
echo $data;
ZN Framework

 

 

# PhpTagEncode / PhpTagDecode (ZN >= 1.0.0)


PHP taglarını numerik koda çevirir.

Parametreler

string $data Veri.
return string

Kullanımlar

$data = Security::phpTagEncode('<?php echo 1;');
echo $data;
&#60;&#63;php echo 1;

Bu dönüşümü eski haline getirmek için;

echo Security::phpTagDecode($data);
<?php echo 1;

gibi kullanılır.

 

 

# PhpTagClean (ZN >= 1.0.0)


PHP etiketlerini siler.

Parametreler

string $data Veri.
return string

Kullanımlar

$data = Security::phpTagClean('<?php ZN Framework ?>');
echo $data;
ZN Framework

 

 

# ScriptTagEncode / ScriptTagDecode (ZN >= 3.0.7)


Script taglarını numerik koda çevirir.

Parametreler

string $data Veri.
return string

Kullanımlar

$data = Security::scriptTagEncode('<script>alert(1);</script>');
echo $data;
&#60;script&#62;alert(1);&#60;/script&#62;

Bu dönüşümü eski haline getirmek için;

echo Security::scriptTagDecode($data);
<script>alert(1);</script>

gibi kullanılır.

 

 

# NailEncode / NailDecode (ZN >= 1.0.0)


Tırnak işaretlerini numerik koda çevirir.

Parametreler

string $data Veri.
return string

Kullanımlar

$data = Security::nailEncode('ZN" Framework');
echo $data;
ZN&#34; Framework

Dönüşümü eski haline getirmek için;

echo Security::nailDecode($data);
ZN" Framework

gibi kullanılır.

 

 

# ForeignCharEncode / ForeignCharDecode (ZN >= 2.0.0)


Yabancı karakterleri numerik koda çevirir.

Parametreler

string $data Veri.
return string

Kullanımlar

$data = Security::foreignCharEncode('Àŕç');
echo $data;
&#192;&#341;&#231;

Dönüşümü eski haline getirmek için;

echo Security::foreignCharDecode($data);
Àŕç

gibi kullanılır.

 

 

# EscapestringEncode / # EscapestringDecode (ZN >= 2.0.0)


Kullanımları injectionEncode() ve injectionDecode() yöntemleri ile aynıdır.

Parametreler

string $data Veri.
return string

 

 

# Data (ZN >= 4.0.23)


Secure:: kütüphanesi Security:: kütüphanesinin yöntemlerini kullanan bir filtreleme kütüphanesidir. Güvenlik süzgecinden geçecek veriyi belirtmek için kullanılır.

Parametreler

string $data Veri.
return this

Kullanımlar

echo Secure::data('<?php echo "This is"; ?> <b>example code!</b>')
           ->phpTagEncode()
           ->htmlEncode()
           ->get();
&amp;#60;&amp;#63;php echo &quot;This is&quot; &amp;#63;&amp;#62; &lt;b&gt;example code!&lt;/b&gt;