PHP ile Güçlü ve Güvenli REST API Geliştirme Adımları: Kapsamlı Rehber

Senseii · 13 Ağu 2025

Giriş: REST API ve PHP'nin Gücü

Günümüzün bağlantılı dünyasında, uygulamaların birbiriyle iletişim kurması hayati önem taşımaktadır. Bu iletişimin temelini ise genellikle API'ler (Uygulama Programlama Arayüzleri) oluşturur. Özellikle REST (Representational State Transfer) prensiplerine dayalı API'ler, basitlikleri, ölçeklenebilirlikleri ve yaygın kullanımları sayesinde modern web geliştirmenin vazgeçilmez bir parçası haline gelmiştir. PHP, sunucu tarafı bir dil olarak, geniş ekosistemi, esnekliği ve güçlü veritabanı desteği ile REST API geliştirmek için mükemmel bir seçimdir. Bu kapsamlı rehberde, PHP kullanarak baştan sona sağlam, güvenli ve performanslı bir REST API oluşturmanın temel adımlarını detaylı bir şekilde inceleyeceğiz.

"REST, World Wide Web'in temel prensiplerini kullanarak, dağıtık hipermedya sistemlerinin mimarisi için bir dizi mimari kısıtlama ve prensip sunar." - Roy Fielding, REST'in mimarı.

Adım 1: Planlama ve Tasarım – API'nizin Temellerini Atın

Her başarılı projenin ilk adımı detaylı bir planlamadır. API geliştirme de bir istisna değildir. Bu aşamada aşağıdaki noktaları belirlemeniz gerekmektedir:

API'nin Amacı ve Kapsamı: API'nizin ne yapacağını, hangi verileri sunacağını ve kimlerin kullanacağını netleştirin. Örneğin, bir e-ticaret sitesi için ürün listeleme, sipariş verme gibi işlevler.
Kaynaklar (Resources) ve Uç Noktalar (Endpoints): API'nizin hangi "kaynaklar" üzerinde işlem yapacağını (örn. /urunler, /kullanicilar) ve bu kaynaklara erişim için hangi HTTP metodlarını (GET, POST, PUT, DELETE) kullanacağınızı belirleyin. Her bir uç noktanın hangi verileri döndüreceğini veya alacağını tanımlayın.
Veritabanı Şeması: API'nizin yöneteği verilerin yapısını ve veritabanı ilişkilerini tasarlayın. İlişkisel bir veritabanı (MySQL, PostgreSQL) mı, yoksa NoSQL (MongoDB) mi kullanacaksınız? Karar verin ve şemanızı çizin.
Kimlik Doğrulama ve Yetkilendirme Stratejisi: API'nize kimlerin erişebileceğini ve hangi yetkilere sahip olacağını belirleyin. API anahtarları, OAuth2 veya JWT (JSON Web Tokens) gibi yöntemler arasından seçim yapın.
Cevap Formatı: API'nizin genellikle JSON veya nadiren XML gibi standart bir formatta cevap döndüreceğini kararlaştırın. JSON, hafifliği ve JavaScript ile kolay entegrasyonu nedeniyle tercih edilir.

Adım 2: Geliştirme Ortamının Kurulumu

API'nizi geliştirmeye başlamadan önce uygun bir ortama ihtiyacınız var. Aşağıdaki bileşenler genellikle gereklidir:

Web Sunucusu: Apache veya Nginx gibi bir web sunucusu, PHP kodunuzu çalıştırmak için gereklidir.
PHP Yorumlayıcısı: Tercihen PHP 7.4 veya üzeri bir sürüm kullanın. Yeni sürümler performans ve güvenlik iyileştirmeleri sunar.
Veritabanı Sunucusu: MySQL, PostgreSQL veya MongoDB gibi seçtiğiniz veritabanı sistemini kurun.
Composer: PHP bağımlılık yöneticisi Composer, kütüphaneleri projenize kolayca dahil etmenizi sağlar. getcomposer.org
Versiyon Kontrol Sistemi: Git gibi bir sistem kullanarak kodunuzu yönetin ve işbirliği yapın.
IDE/Metin Editörü: VS Code, PhpStorm gibi bir geliştirme ortamı, kod yazma deneyiminizi kolaylaştırır.

Adım 3: Temel API Yapısı ve Otomatik Yükleme

Projeyi düzenli tutmak için mantıklı bir dizin yapısı oluşturmak önemlidir. Önerilen yapı:

Kod:

/public (genel erişime açık dosyalar, index.php)
/src
  /Controllers (API uç noktalarını işleyen mantık)
  /Models (Veritabanı etkileşimleri)
  /Routes (Yönlendirme tanımları)
  /Config (Yapılandırma dosyaları)
  /Core (Temel sınıflar, veritabanı bağlantısı)
/vendor (Composer tarafından yüklenen kütüphaneler)
/logs
.env (Çevresel değişkenler)
composer.json

Composer'ın otomatik yükleme (autoloader) özelliğini kullanarak sınıflarınızı kolayca dahil edebilirsiniz. `composer.json` dosyanıza aşağıdaki gibi bir PSR-4 otomatik yükleme kuralı ekleyin:

Kod:

{
    "autoload": {
        "psr-4": {
            "App\\": "src/"
        }
    }
}

Ardından `composer dump-autoload` komutunu çalıştırın.

Adım 4: Router Oluşturma – İstekleri Yönlendirme

Bir REST API'nin kalbi, gelen HTTP isteklerini doğru işleyiciye (controller'a) yönlendiren bir router sistemidir. Kendi basit bir router yazabilir veya popüler bir mikro çerçeve (Silex, Slim) veya yönlendirme kütüphanesi (FastRoute) kullanabilirsiniz. Basit bir örnek:

Kod:

// public/index.php
require_once __DIR__ . '/../vendor/autoload.php';

use App\Core\Router;

$router = new Router();

// Örnek bir GET rotası
$router->get('/api/v1/urunler', 'App\Controllers\UrunController@index');
// Örnek bir POST rotası
$router->post('/api/v1/urunler', 'App\Controllers\UrunController@store');

$router->dispatch();

// src/Core/Router.php (Basitleştirilmiş)
namespace App\Core;

class Router
{
    protected array $routes = [];

    public function get(string $uri, string $action)
    {
        $this->addRoute('GET', $uri, $action);
    }

    public function post(string $uri, string $action)
    {
        $this->addRoute('POST', $uri, $action);
    }

    // ... diğer HTTP metodları (put, delete)

    protected function addRoute(string $method, string $uri, string $action)
    {
        $this->routes[$method][$uri] = $action;
    }

    public function dispatch()
    {
        $method = $_SERVER['REQUEST_METHOD'];
        $uri = strtok($_SERVER['REQUEST_URI'], '?');

        if (isset($this->routes[$method][$uri])) {
            list($controllerName, $methodName) = explode('@', $this->routes[$method][$uri]);
            $controller = new $controllerName();
            $controller->$methodName();
        } else {
            header("HTTP/1.0 404 Not Found");
            echo json_encode(['message' => 'Endpoint bulunamadı.']);
        }
    }
}

Adım 5: Veritabanı Bağlantısı ve Modeller

Veritabanı etkileşimleri için PHP'nin PDO (PHP Data Objects) sınıfını kullanmak en iyi yoldur. Güvenli, parametreli sorgular oluşturmanıza olanak tanır.

Kod:

// src/Core/Database.php
namespace App\Core;

use PDO;
use PDOException;

class Database
{
    private static ?PDO $instance = null;
    private string $host = 'DB_HOST';
    private string $db_name = 'DB_NAME';
    private string $username = 'DB_USER';
    private string $password = 'DB_PASS';

    private function __construct() {}

    public static function getInstance(): PDO
    {
        if (self::$instance === null) {
            try {
                $dsn = "mysql:host=" . self::$host . ";dbname=" . self::$db_name . ";charset=utf8mb4";
                self::$instance = new PDO($dsn, self::$username, self::$password, [
                    PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
                    PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
                    PDO::ATTR_EMULATE_PREPARES => false
                ]);
            } catch (PDOException $e) {
                die("Veritabanı bağlantı hatası: " . $e->getMessage());
            }
        }
        return self::$instance;
    }
}

Modeller, veritabanı tablolarınızla etkileşim kuran sınıflardır. Her model, ilgili tablonun veri yapısını ve bu tablo üzerinde yapılabilecek işlemleri (CRUD: Create, Read, Update, Delete) kapsar.

Kod:

// src/Models/Urun.php
namespace App\Models;

use App\Core\Database;
use PDO;

class Urun
{
    private PDO $conn;
    private string $table_name = "urunler";

    public int $id;
    public string $ad;
    public string $aciklama;
    public float $fiyat;

    public function __construct()
    {
        $this->conn = Database::getInstance();
    }

    public function readAll(): array
    {
        $query = "SELECT id, ad, aciklama, fiyat FROM " . $this->table_name . " ORDER BY id DESC";
        $stmt = $this->conn->prepare($query);
        $stmt->execute();
        return $stmt->fetchAll(PDO::FETCH_ASSOC);
    }

    public function create(): bool
    {
        $query = "INSERT INTO " . $this->table_name . " SET ad=:ad, aciklama=:aciklama, fiyat=:fiyat";
        $stmt = $this->conn->prepare($query);

        // Temizleme ve bağlama
        $this->ad = htmlspecialchars(strip_tags($this->ad));
        $this->aciklama = htmlspecialchars(strip_tags($this->aciklama));
        $this->fiyat = htmlspecialchars(strip_tags($this->fiyat));

        $stmt->bindParam(":ad", $this->ad);
        $stmt->bindParam(":aciklama", $this->aciklama);
        $stmt->bindParam(":fiyat", $this->fiyat);

        return $stmt->execute();
    }

    // ... update, delete, readOne metodları ...
}

Adım 6: Kimlik Doğrulama ve Yetkilendirme

API güvenliğinin en kritik adımı, kimlik doğrulama ve yetkilendirmedir. JSON Web Tokens (JWT) popüler bir seçimdir. Kullanıcı giriş yaptığında bir token oluşturulur ve sonraki her istekte bu token gönderilerek kullanıcının kimliği doğrulanır.

JWT Kütüphanesi: `firebase/php-jwt` gibi bir Composer paketi kullanın.
Giriş Uç Noktası: Kullanıcı adı ve şifre ile giriş yapan bir POST uç noktası oluşturun. Doğru kimlik bilgileri verildiğinde bir JWT döndürün.
Middleware: Korunan uç noktalara gelen her isteği kontrol eden bir middleware (ara yazılım) oluşturun. Eğer geçerli bir JWT yoksa, isteği reddedin.

Kod:

// JWT ile basit bir kimlik doğrulama örneği
// src/Controllers/AuthController.php
namespace App\Controllers;

use Firebase\JWT\JWT;
use Firebase\JWT\Key;

class AuthController
{
    private string $secret_key = "SizinGizliAnahtarınızBuradaOlsun"; // Güçlü ve gizli tutun!

    public function login()
    {
        $data = json_decode(file_get_contents("php://input"));

        // Basit kontrol (veritabanı sorgusu olmalı)
        if ($data->username === 'admin' && $data->password === 'password') {
            $issuedAt = time();
            $expire = $issuedAt + 3600; // 1 saat geçerli
            $payload = [
                'iat' => $issuedAt,
                'exp' => $expire,
                'data' => [
                    'id' => 1,
                    'username' => $data->username
                ]
            ];
            $jwt = JWT::encode($payload, $this->secret_key, 'HS256');
            header('Content-Type: application/json');
            echo json_encode(['message' => 'Giriş başarılı.', 'jwt' => $jwt]);
        } else {
            header('HTTP/1.0 401 Unauthorized');
            echo json_encode(['message' => 'Geçersiz kimlik bilgileri.']);
        }
    }

    public function authenticate()
    {
        $headers = getallheaders();
        if (isset($headers['Authorization'])) {
            $authHeader = $headers['Authorization'];
            $token = str_replace('Bearer ', '', $authHeader);

            try {
                $decoded = JWT::decode($token, new Key($this->secret_key, 'HS256'));
                // Kullanıcı bilgileri $decoded->data içinde
                return true;
            } catch (Exception $e) {
                header('HTTP/1.0 401 Unauthorized');
                echo json_encode(['message' => 'Geçersiz veya süresi dolmuş token.', 'error' => $e->getMessage()]);
                return false;
            }
        }
        header('HTTP/1.0 401 Unauthorized');
        echo json_encode(['message' => 'Yetkilendirme tokenı eksik.']);
        return false;
    }
}

Adım 7: Hata Yönetimi ve Cevap Yapıları

API'nizin hatasız çalışması nadirdir. İyi bir hata yönetimi, sorunları tespit etmeyi ve çözmeyi kolaylaştırır. API cevapları tutarlı bir formatta olmalıdır, genellikle JSON.

HTTP Durum Kodları: Başarılı (2xx), yönlendirme (3xx), istemci hatası (4xx) ve sunucu hatası (5xx) gibi standart HTTP durum kodlarını doğru kullanın. Örneğin, kaynak bulunamadığında 404 Not Found, kimlik doğrulama hatasında 401 Unauthorized.

Tutarlı JSON Cevapları: Hem başarılı hem de hatalı cevaplar için standart bir JSON yapısı belirleyin. Örneğin:

Kod:

// Başarılı cevap
{
    "status": "success",
    "data": { "id": 1, "ad": "Ürün Adı" }
}

// Hata cevabı
{
    "status": "error",
    "message": "Geçersiz girdi.",
    "errors": {
        "ad": "Ad alanı boş bırakılamaz."
    }
}

Özel Hata Sınıfları: Farklı hata türleri için özel PHP hata sınıfları tanımlayabilir ve bunları global bir hata yakalayıcı ile işleyebilirsiniz.

Adım 8: Girdi Doğrulama (Input Validation)

API'nizin en savunmasız noktalarından biri, dışarıdan gelen verilerin doğrulanmamasıdır. Kullanıcıdan gelen her veriyi (POST, PUT isteklerindeki body, GET isteklerindeki query parametreleri) mutlaka doğrulayın. Örneğin, e-posta formatı, sayısal değerler, gerekli alanların boş olup olmadığı kontrol edilmelidir.

Kod:

// Basit bir doğrulama örneği
if (empty($data->ad) || strlen($data->ad) < 3) {
    // Hata mesajı döndür
    header('HTTP/1.0 400 Bad Request');
    echo json_encode(['status' => 'error', 'message' => 'Ad alanı boş olamaz ve en az 3 karakter olmalı.']);
    exit();
}

Adım 9: Test Etme

API'nizin doğru çalıştığından emin olmak için testler yazmak çok önemlidir. Testler, kodunuzdaki hataları erken yakalamanıza ve gelecekteki değişikliklerin mevcut işlevleri bozmasını engellemenize yardımcı olur.

Birim Testleri (Unit Tests): Her bir metodun veya sınıfın (modeller, yardımcı sınıflar) bağımsız olarak doğru çalıştığını test edin. PHPUnit popüler bir test çerçevesidir.
Entegrasyon Testleri (Integration Tests): API uç noktalarınızın veritabanı ile veya diğer bağımlılıklarla birlikte doğru çalıştığını test edin.
Uçtan Uca Testler (End-to-End Tests): API'nizin tam bir kullanıcı akışını simüle ederek test edin.
API Test Araçları: Postman, Insomnia gibi araçları kullanarak manuel testler yapın ve otomatize test senaryoları oluşturun.

Adım 10: Güvenlik İpuçları

Güvenlik, API geliştirmenin en önemli yönlerinden biridir. Aşağıdaki önlemleri alın:

Girdi Doğrulama ve Çıktı Temizleme: SQL Enjeksiyonu, XSS (Cross-Site Scripting) gibi saldırıları önlemek için tüm kullanıcı girdilerini doğrulayın ve çıktıları temizleyin.
Prepared Statements: Veritabanı sorgularında her zaman PDO ile prepared statements kullanın.
HTTPS Kullanımı: Tüm API iletişiminizi SSL/TLS (HTTPS) üzerinden şifreleyin. Bu, verilerin üçüncü taraflarca ele geçirilmesini engeller.
Rate Limiting (Oran Sınırlandırma): Belirli bir süre içinde belirli bir IP adresinden veya kullanıcıdan gelen istek sayısını sınırlayarak DDoS saldırılarını ve kötüye kullanımı önleyin.
Hata Mesajlarını Gizleme: Detaylı hata mesajlarını üretim ortamında göstermeyin. Bu tür mesajlar, saldırganlara sisteminiz hakkında ipuçları verebilir.
Sıkı Yetkilendirme Kontrolleri: Kullanıcıların yalnızca yetkili oldukları kaynaklara ve işlemlere erişebildiğinden emin olun.
Bağımlılıkları Güncel Tutma: Kullanılan tüm kütüphaneleri ve çerçeveleri güncel tutarak bilinen güvenlik açıklarını kapatın.
Güçlü Şifre Politikaları: Kullanıcı şifrelerini asla düz metin olarak saklamayın. `password_hash()` ve `password_verify()` gibi PHP fonksiyonlarını kullanarak güvenli bir şekilde hashleyin.

Adım 11: Dokümantasyon

İyi bir API, iyi bir dokümantasyon gerektirir. Dokümantasyon, API'nizi kullanacak geliştiricilerin hayatını kolaylaştırır ve entegrasyon sürecini hızlandırır. OpenAPI (Swagger) spesifikasyonu, API'nizi tanımlamak için yaygın olarak kullanılan bir standarttır. Swagger UI gibi araçlar, dokümantasyonunuzu etkileşimli hale getirmenizi sağlar.

API'nin her uç noktasını (metot, URL, parametreler, örnek istek/cevap).
Kimlik doğrulama yöntemlerini.
Hata kodlarını ve hata mesajlarını.
Kullanım örneklerini.

Adım 12: Dağıtım (Deployment)

API'niz hazır olduğunda, onu bir sunucuya dağıtmanız gerekir. Bu süreç şunları içerir:

Sunucu Hazırlığı: PHP, web sunucusu (Apache/Nginx), veritabanı ve Composer'ın kurulu olduğundan emin olun.
Ortam Değişkenleri: Veritabanı kimlik bilgileri, JWT sırrı gibi hassas bilgileri `.env` dosyası veya sunucunun ortam değişkenleri aracılığıyla güvenli bir şekilde yönetin.
Otomatik Dağıtım: Jenkins, Deployer, GitLab CI/CD gibi araçlarla otomatik dağıtım (CI/CD) süreçleri kurarak hızlı ve hatasız dağıtımlar yapın.
Monitoring ve Loglama: API'nizin performansını izleyin ve olası sorunları tespit etmek için detaylı loglar tutun.

Sonuç

PHP ile REST API geliştirmek, modern uygulamalar oluşturmak için güçlü ve esnek bir yoldur. Bu rehberde bahsedilen adımları izleyerek, hem işlevsel hem de güvenli bir API altyapısı kurabilirsiniz. Unutmayın ki API geliştirme sürekli bir öğrenme ve iyileştirme sürecidir. Güvenlik, performans ve sürdürülebilirlik ilkelerini her zaman göz önünde bulundurun. İyi geliştirmeler!