Fatih SoysalBu makale, PHP kullanarak POST isteklerinin nasıl engelleneceğine dair kısa bir kılavuzdur. Özellikle, komut dosyalarınızın bir uygulama düzeyinde kabul ettikleri HTTP yöntemlerini denetlemeniz gerekiyorsa, bu makale size yardımcı olacaktır.
POST isteklerinin engellenmesi ve “405 Method Not Allowed” hatası döndürmek
Dilerseniz başlayalım.
POST isteklerini engellediğimiz bir örnek yapalım.
1 2 3 4 5 6 7 8 9 | // Mevcut istek yöntemini al. $currentRequestMethod = $_SERVER['REQUEST_METHOD']; // İstek yöntemi POST ise. if(strcasecmp($currentRequestMethod, 'POST') == 0){ // İstemciye "405 Yöntemi İzin Verilmiyor" başlığını gönderelim ve isteği geri çevirelim header($_SERVER["SERVER_PROTOCOL"]." 405 Method Not Allowed", true, 405); exit; } |
Yukarıdaki örnekte:
- “REQUEST_METHOD” değerini $ _SERVER evrensel dizisinden alarak istek yöntemini tespit ettik.
- İstek yönteminin “POST” değerine eşit olup olmadığını kontrol ettik.
- Bu bir POST isteğiyse, istemciye “405 Yönteme İzin Verilmiyor” başlığı gönderdik ve isteği geri çevirdik
Araştırmalarım sonucunda internet ortamında gördüğüm birçok örnekte, çoğu örnek başlığı göndermeden senaryoyu bitiriliyordu. Bu yaklaşımdaki sorun, istemcinin sunucudan hala “200 OK” cevabı almasıdır. 200 dönüyor ama aslında engelleniyor. Bu doğru bir yaklaşım değil. Doğru kullanım, yukarıda olduğu gibi isteği engellemek, engelleme bilgisini de isteğin sonucu olarak belirtmek. Yukarıdaki örnekte “405 Method Not Allowed” başlığını göndererek, temel olarak, talep eden isteğe söz konusu URL’nin POST isteklerine izin vermediğini belirttik. (405 Method Not Allowed)
Bonus: Belirli HTTP yöntemlerine izin vermek
Başka bir yaklaşım, izin verilen bazı HTTP yöntemlerini beyaz listeye almaktır. (Bazı isteklere izin ver, bazılarına verme gibi) Aşağıdaki örneği inceleyelim:
1 2 3 4 5 6 7 8 9 10 11 | $currentRequestMethod = $_SERVER['REQUEST_METHOD']; //İzin verilen yöntemleri içeren bir PHP dizisi tanımlayalım. $allowedRequestMethods = array('GET', 'HEAD'); // Geçerli istek yönteminin izinli olup olmadığını kontrol edelim. if(!in_array($currentRequestMethod, $allowedRequestMethods)){ //Send a "405 Method Not Allowed" header to the client and kill the script header($_SERVER["SERVER_PROTOCOL"]." 405 Method Not Allowed", true, 405); exit; } |
Yukarıdaki betikte, geçerli istek yönteminin izin verilen yöntemler listemizde olup olmadığını kontrol ediyoruz. Değilse, o zaman istemciye bir 405 gönderip PHP betiğinden çıkıyoruz.
Not: Uygulamanızın tamamında HTTP yöntemlerini beyaz listeye almak istiyorsanız, bunu bir sunucu üzerinde yapmalısınız. Apache ve Nginx ile de benzer yaklaşımlar alınabilir.
Her neyse, bu rehberin size yararlı olacağını düşünüyorum. Bir sonraki makalede görüşmek üzere.
