Guvenlik Kilavuzu

PulseHub, guvenlik temel bir endise olarak goz onunde bulundurularak insa edilmistir.

Kimlik Dogrulama

Sifreler: bcrypt, maliyet faktoru 12 — asla duz metin olarak saklanmaz
Oturumlar: HttpOnly, SameSite=Strict, use_strict_mode, giriste yeniden olusturulur
Sabit zamanli karsilastirma password_verify() ve hash_equals() ile

SQL Enjeksiyon Onleme

Tum sorgular EMULATE_PREPARES = false ile PDO hazirlanmis ifadeler kullanir. Kullanici girisi asla SQL sozdizimi olarak yorumlanamaz.

XSS Onleme

Tum dinamik cikti e() → htmlspecialchars(ENT_QUOTES | ENT_HTML5, 'UTF-8') ile kacandirilir.

CSRF Korumasi

SameSite=Strict cerezleri siteler arasi istekleri onler. Giris ve yukleme formlari gizli bir _token alani icerir.

Webhook Imza Dogrulamasi

WhatsApp, Facebook, Instagram: App Secret ile HMAC-SHA256
Viber: Auth Token ile HMAC-SHA256
Tumu hash_equals() (sabit zaman) kullanir

Dizin Erisim Kontrolleri

Hassas dizinler (config/, app/, data/) .htaccess ve nginx yapilandirmasi araciligiyla web erisiminden engellenmistir.

Onerilen Guvenlik Basliklari

<IfModule mod_headers.c>
    Header set X-Frame-Options "SAMEORIGIN"
    Header set X-Content-Type-Options "nosniff"
    Header set X-XSS-Protection "1; mode=block"
    Header set Referrer-Policy "strict-origin-when-cross-origin"
</IfModule>

PulseHub'i Guvenli Tutma

PHP ve MySQL'i guncel tutun
Her yerde HTTPS kullanin
API anahtarlarini duzenli olarak degistirin
Cron gunluklerini izleyin
Veritabani ve config/ dizininin duzenli yedeklerini alin

Kimlik Dogrulama​

SQL Enjeksiyon Onleme​

XSS Onleme​

CSRF Korumasi​

Webhook Imza Dogrulamasi​

Dizin Erisim Kontrolleri​

Onerilen Guvenlik Basliklari​

PulseHub'i Guvenli Tutma​