PHP’de Güvenlik: Şifreleme (password_hash – password_verify)

Merhabalar,

Bu dersimde PHP’de şifrelemeden biraz bahsedeceğim. Genel olarak kullanıcıların şifreleri gibi hassas bilgileri saklarken md5 kullanıyoruz. Tek yönlü bir şifreleme algoritması olduğu güveniyoruz ve kullanıyoruz ama videoda da bahsettiğim gibi her zaman tam olarak güvenli olmuyor. Aslında bilgisayarda her zaman bir tam güvenlikten söz etmek çok zordur, burada benim bahsetmek istediğim şey sadece md5’ten daha güvenli bir şekilde işlem yapabileceğimiz. Şifreleme işlemini biraz daha güvenli yapabilmek için password_hash fonksiyonunu kullanacağız. Bu fonksiyon da aynı şekilde tek yönlü bir şekilde içerisine girdiğimiz veriyi şifreliyor. Bunun yanı sıra şifreleme için kullanacağımız işlem maliyetini belirtebiliyoruz. Bu işlem maliyeti de bizi bruteforce saldırılardan biraz daha fazla koruyor. Şu an tam olarak ifade edemediğimi düşünüyorum. Videoyu izleyerek bu olayı daha rahat bir şekilde anlayabilirsiniz. Bu yazıda sadece kullanımlarından bahsedeceğim. Öncelikle şifreleme işlemi için password_hash fonksiyonundan bahsedeyim. Daha sonra da nasıl şifrelerle doğrulama yapabileceğimizden bahsedeceğim.

Password_hash fonksiyonumuz 3 parametre alıyor. Detaylı bilgileri php.net üzerindeki ilgili sayfadan inceleyebilirsiniz.

http://nl1.php.net/manual/en/function.password-hash.php

3 parametremizi biraz açalım. Birinci parametremiz şifrelenecek verimiz. Buraya direkt olarak şifrelemek istediğimiz verimizi yazıyoruz. İkinci parametremiz kullanacağımız şifreleme algoritması. Şu an için bu parametreye sadece iki değer verebiliyoruz ve yine şu an için bu iki değer de aynı. Değerlerimizden biri PASSWORD_BCRYPT, bu parametreyi verdiğimiz zaman CRYPT_BLOWFISH algoritması kullanılarak verilerimiz şifreleniyor. İkinci değerimiz de PASSWORD_DEFAULT. Şu an için başka bir şifreleme algoritması PHP’de mevcut olmadığı için PASSWORD_DEFAULT değeri de CRYPT_BLOWFISH algoritmasını kullanıyor. Adından da anlaşılacağı gibi bu değerimiz zaten varsayılan değer. Bu değerin varoluş sebebi de ilerleyen zamanlarda PHP’de yeni ve daha güçlü bir şifreleme algoritması geliştirilirse bu algoritmayı kullanmayı sağlamak. Özellikle PASSWORD_BCRYPT kullanmak istiyorsanız bir şey diyemem ama aksi durumlarda PASSWORD_DEFAULT kullanmanızı tavsiye ederim. Son parametremizi de inceleyelim ve bu fonksiyonu bitirelim. Son parametremiz ayarlar parametresi ve dizi olarak değer alıyor. Burada iki tane ayarımız var, bunlar salt ve cost. Salt ayarı PHP 7.0’dan sonra önerilmemeye başlıyor. Bu yüzden bununla ilgilenmeyeceğiz. Şimdilik tek kullanacağımız ayar cost ayarı. Buna processing cost da diyebiliriz. Yani yapacağımız işlemin maliyeti. Buraya ne kadar büyük bir değer verirseniz şifreleme için o kadar çok kaynak harcanıyor bu da az önce bahsettiğim gibi bruteforce saldırılarından korunmanızı sağlıyor. Bu ayar için benim genel olarak kullandığım değer 12 siz daha düşük veya bilgisayarınızın gücü yeterse daha yüksek değerler verebilirsiniz. Yalnız unutmamanız gereken bir mesele var, buraya ne kadar büyük bir değer verirseniz şifreleme işleminiz o kadar uzun sürecektir. Örnek olarak cost ayarına 10 yazdığınız zaman şifreleme işlemini 8 saniyede yapıyorsa 12 yazdığınız zaman 12 saniyede yapacaktır (Verilen zaman değerleri tamamen temsilidir). Evet şimdi hemen örnek bir fonksiyon kullanımına ve sonucuna bakalım.

PHP'de Sifreleme

Bu fonksiyon bize örnekte gördüğünüz gibi veriler döndürüyor. Başlangıçtaki $2y$ ifadesi kullandığımız şifreleme algoritmasını temsil ediyor. daha sonraki 12$ kısmı ise kullandığımız cost ayarını temsil ediyor. Şifrelerin doğruluğunu test ederken kullanacağımız password_verify fonksiyonu da zaten bunlara bakarak işlem yapıyor. Bu değerler olmasaydı eğer password_verify hangi şifreli veriyi hangi algoritmayla şifrelediğimizi bilemeyecek ve hepsini teker teker denemek zorunda kalacaktı ki bu da son derece saçma bir durum olurdu. Şimdi devam edelim. Bu şekilde şifreli verimizi elde ettikten sonra şimdi de bu şifremizi nasıl kontrol ettirebileceğimize bakalım.

Şifrenin doğruluğunu kontrol etmek için de password_verify fonksiyonunu kullanacağız. Bu fonksiyonumuz da iki parametre alıyor. Birinci parametremiz doğruluğu test edilecek verimiz, ikinci parametremiz ise şifrelenmiş verimiz. Hemen bir örnek verelim.

screen-shot-2016-11-06-at-12-39-15

Burada gördüğünüz gibi kontrol edilecek verimiz için yanlış bir değer verirsek password_verify fonksiyonundan false dönüyor, eğer doğru şifreyi verirsek birinci parametresine bu durumda da true dönüyor.

Bazen şifrelenmiş veriyi değişkenlerden almak yerine direkt olarak string halinde vermek isteyebilirsiniz. Böyle durumlarda şifrelenmiş veriyi çift tırnaklar yerine tek tırnaklar içinde yazmanız gerekmektedir. Çünkü çift tırnak kullandığınız zaman şifreniz içerisinde $ karakteri geçtiği için şifrenizin bir bölümüne bir değişkenmiş gibi muamele edilecektir ve bu da doğal olarak doğru şifre girmiş olsanız bile false dönmesine sebep olacaktır.

Bu şekilde password_hash ve password_verify fonksiyonları ile daha güvenli bir şifreleme sağlayabilirsiniz.

Bu yazımda anlatacaklarım bu kadar, eğer bir yanlışım, eksik anlattığım bir şey veya herhangi bir sorun varsa bunu Youtube üzerinden veya buradan yorumlar yoluyla iletebilirsiniz. Herkese iyi çalışmalar dilerim, görüşmek üzere.

Eğitim Setleri, PHP, PHP'de Güvenlik Mustafa Zahid Efe 4 yorum